запросов на соответствие установленному формату (позволяет атаковать внутренние компоненты службы через Web-приложение); несовершенство контроля доступа (может предоставить авторизованному пользователю доступ к чужим учетным записям); несовершенство управления учетными записями и сеансами (позволяет атакующему получить пароли, cookie сеанса); уязвимость для межсайтовых сценариев (использования Web-служб в качестве механизма извлечения конфиденциальной информации из систем конечных пользователей); уязвимость для ошибок переполнения буфера; уязвимость для манипуляции параметрами (отсутствие блокировки возможности внедрения посторонних команд в параметры, передаваемые Web-службами внешним ресурсам или локальной операционной системе); несовершенство механизма обработки ошибок (предоставляет атакующему возможность вызвать отказ в обслуживании); несовершенство криптосистемы (использование слишком слабых алгоритмов или коротких ключей); неправильное конфигурирование (неустановка "заплаток", сохранение учетных записей, предусмотренных по умолчанию, и т. п.).