Eu trabalho com webservices quase 100% do meu dia, é incrível a quantidade de problemas e soluções que esta tecnologia consegue nos trazer, alguns entusiastas dizem que quando você tem um WebService rodando em um ambiente, ele está trabalhando com SOA, só um aviso: Isso está completamente errado.

Voltando a segurança, foi lançada uma ferramenta baseada em JAVA que auxilia na realização de testes de intrusão em ambientes que utilizam WebServices, bem que eu vi o WS-Attacker e na minha avaliação ela é um SOAPUI alterado para segurança.

O WS-Attacker é interessante quando você deseja verificar a integridade ou segurança do serviço que está no ar. Ele só se comunica via SOAP

O guia contendo as principais funcionalidades e exemplos foi bem escrito, olhem só.

Caso vocês estejam curiosos em testar o WS-Attacker, é só baixa-lo no seguinte link. Um ponto de atenção, cuidado com os testes nos ambientes que vocês têm acesso, uma má execução de um webservice poderá lhe gerar um baita dor de cabeça, chegando ao ponto de ter que restaurar um backup dependendo do que você fez. Isso aconteceu comigo há duas semanas.