XML dan protokolnya yang semakin marak digunakan dalam web service, ternyata membuka berbagai celah keamanan baru. John Pescatore, analis keamanan dari lembaga riset pasar Gartner Dataquest, mengingatkan XML menciptakan beberapa celah keamanan baru yang belum tersentuh oleh sistem keamanan jaringan saat ini.
“Praktisi keamanan harus mengerti struktur dasar Web services dan jenis-jenisnya yang bisa menimbulkan bahaya,” katanya seperti dikuti CNet Asia. Menurut dia, saat ini risiko serangan terhadap XML dan web services relatif masih dapat dicegah. Perusahaan sudah terbiasa menggunakan web services untuk mengkoneksikan aplikasi internal atau berbagi informasi dengan mitra yang sistemnya sudah dipercaya. Aplikasi yang berjalan dalam lingkungan tertutup antara pihak-pihak yang bisa dipercaya itu mampu mencegah serangan. Namun jika perusahaan mulai menggunakan web services dan XML secara lebih luas, mereka perlu lebih berhati-hati.
John menilai penyusupan ke dalam jaringan perusahaan dengan menumpang Web services jauh lebih berbahaya daripada mematikan sebuah situs, sebab informasi perusahaan berharga yang berjalan pada aplikasi bisnis bisa disadap.
Masalahnya, produk keamanan yang ada saat ini seperti firewall dan antivirus hanya dirancang untuk mencegah penyusup masuk ke jaringan perusahaan atau menghalai serangan yang mematikan satu mesin. Produk keamanan saat ini mengawasi aplikasi yang mengirimkan informasi melalui format XML menggunakan IP. Namun kebanyakan firewall hanya mengawasi paket-paket XML yang memiliki IP tanpa membuka isinya. Akibatnya, tegas John, pesan XML berbahaya bisa memasuki jaringan perusahaan tanpa terdeteksi. Isu keamanan ini sama sekali baru sehingga perusahaan harus segera meningkatkan kewaspadaannya.
Randy Heffner, analis pada Forrester Research, mengatakan kemungkinan serangan menggunakan XML adalah denial-of-service (DoS) dimana penyerang melumpuhkan web services dengan mengirimkan banjir informasi.