ریسکهای امنیتی API
به منظور تحلیل ریسک، از متدولوژی رتبه بندی ریسک OWASP استفاده شده است.
جدول زیر، واژگان مرتبط با رتبه ریسک را مختصرا نشان میدهد.
| عوامل تهدید | قابلیت بهره برداری | میزان شیوع آسیبپذیری | قابلیت شناسایی آسیبپذیری | پیامد فنی | تاثیر بر کسب و کار |
|---|---|---|---|---|---|
| خاص API | آسان: 3 | گسترده: 3 | آسان: 3 | شدید: 3 | خاص کسب و کار |
| خاص API | متوسط: 2 | متداول: 2 | متوسط: 2 | متوسط: 2 | خاص کسب و کار |
| خاص API | سخت: 1 | سخت: 1 | سخت: 1 | جزئی: 1 | خاص کسب و کار |
توجه: در این رویکرد، نوع فناوری مورد استفاده و احتمال وقوع آسیبپذیری در رتبه ریسک تاثیر ندارند؛ بعبارت دیگر در این روش رتبه بندی ریسک، راهکار مورد استفاده برای پیاده سازی API ، با رویکردی مستقل از جزئیات فناوری به ارزیابی ریسک میپردازد. هرکدام از عوامل یاد شده میتواند در پیداکردن و سواستفاده از یک آسیبپذیری به مهاجم کمک بسزایی کند. این رتبه بندی تاثیر واقعی بر کسب و کارها را نشان نداده و این سازمانها هستند که با توجه به نوع کسب و کار و فرهنگ سازمانی خود، در میزان پذیرش خطر امنیتی استفاده از اپلیکیشنها و APIها تصمیم گیرنده هستند. هدف از مستند ده آسیبپذیری بحرانی امنیت API، تحلیل ریسک نیست.