L'avvento del Web 2.0 ha rivoluzionato il concetto di applicazione Web, creando nuovi sistemi per la fruizione dei contenuti e dei servizi. Le nuove tecnologie e le nuove tecniche che lo hanno permesso sono però chiaramente accompagnate da nuovi aspetti che gli esperti di sicurezza devono tenere in considerazione e studiare.

Come le innovazioni hanno caratterizzato sia l'aspetto lato client che quello lato server, così anche nuovi vettori e falle si sono resi disponibili ai malintenzionati su entrambi i capi delle transazioni Web, e casi di worm come Yamanner, Samy o Spaceflash sono solo alcuni degli esempi di exploit possibili.

In un articolo pubblicato sul sito Help Net Security è stata stilata una classifica degli attacchi fondati sulle vulnerabilità portate dal Web 2.0: in prima posizione sono posti naturalmente gli attacchi Cross-Site Scripting in AJAX che avvengono tramite l'esecuzione di codice JavaScript malevolo come ad esempio nel caso del già citato Yamanner.

In seconda posizione troviamo l'XML poisoning, seguito dall'esecuzione di codice AJAX malevolo e dall'RSS/Atom Injection e ancora dal WSDL scanning and enumeration. Come sesto possibile vettore di attacchi viene annoverata la validazione lato client tramite AJAX e come settimo alcuni problemi derivanti dal routing dei Web Services. Gli ultimi tre posti della classifica sono invece occupati dalla parameter manipulation con SOAP, dall'XPATH injection nei messaggi SOAP e dalla manipolazione binaria di thick client RIA.

Per una breve descrizione delle dieci più popolari tipologie di attacco che si fondano sulle tecnologie caratterizzanti del Web 2.0, come Rich Internet Application, AJAX, e Web Services in genere, è possibile consultare l'articolo scritto da Shreeraj Shah per Help Net Security.