Gerakan Digitalisasi membuat banyak organisasi membangun aplikasi sistem informasi dengan tujuan proses bisnis yang berjalan lebih efektif dan efisien. Salah satu sistem informasi adalah E-commerce Surabaya. E-commerce Surabaya adalah website yang digunakan Pegawai Pemerintah Kota Surabaya ataupun masyarakat umum untuk melakukan belanja berbagai macam kebutuhan sehari-hari pada Toko Kelontong, UMKM maupun SWK yang tersedia pada tiap Kecamatan di Kota Surabaya. E-commerce Surabaya memiliki ide untuk diadakannya pembayaran online, Pemkot Surabaya sudah berkomunikasi dengan Bank Jatim selaku penyedia jasa pembayaran. Sistem informasi E-commerce Surabaya memiliki banyak data penting dan sensitif yang harus dijaga. Keamanan sistem informasi sangat penting untuk menjamin integritas, kerahasiaan, dan ketersediaan data. Penelitian ini bertujuan untuk menganalisis celah keamanan sistem informasi E-commerce Surabaya menggunakan kerangka kerja (Open Worldwide Application Security Project) OWASP Top 10. Ada beberapa tahapan OWASP yang dilakukan diantaranya Information Gathering, Session Management Testing, Data Validation Testing, dan Webservices Testing. Uji penetrasi adalah salah satu cara untuk melihat tingkat keamanan sebuah sistem, pengujian dilakukan dengan membuat simulasi serangan terhadap aplikasi berbasis web yang akan diuji. Dari 10 penyerangan yang dilakukan terhadap website E-commerce Surabaya mendapatkan hasil berupa keamanan website E-commerce Surabaya memiliki tingkat keamanan yang baik, Hasil menunjukkan bahwa hasil penetrasi tidak dapat dilakukan, namun perlu diperbaiki pada bagian A03 injection dan A06 outdated component.