RISK ریسک های امنیتی API
به منظور تحلیل ریسک، از متدولوژی رتبه بندی ریسک OWASP استفاده شده است. جدول زیر، واژگان مرتبط با رتبه ریسک را مختصرا نشان میدهد.
| عوامل تهدید | قابلیت بهره برداری | میزان شیوع آسیبپذیری | قابلیت شناسایی آسیبپذیری | پیامد فنی | تاثیر بر کسب و کار |
|---|---|---|---|---|---|
| خاص API | آسان: 3 | گسترده: 3 | آسان: 3 | شدید: 3 | خاص کسب و کار |
| متوسط: 2 | متداول: 2 | متوسط: 2 | متوسط: 2 | ||
| سخت: 1 | سخت: 1 | سخت: 1 | جزئی: 1 |
در این رویکرد، نوع فناوری مورد استفاده و احتمال وقوع آسیبپذیری در رتبه ریسک تاثیر ندارند؛ بعبارت دیگر در این روش رتبه بندی ریسک، راهکار مورد استفاده برای پیادهسازی API، با رویکردی مستقل از جزئیات فناوری به ارزیابی ریسک میپردازد. هرکدام از عوامل یاد شده میتواند در پیداکردن و سواستفاده از یک آسیبپذیری به مهاجم کمک بسزایی کند. این رتبه بندی تاثیر واقعی بر کسب و کارها را نشان نداده و این سازمانها هستند که با توجه به نوع کسب و کار و فرهنگ سازمانی خود، در میزان پذیرش خطر امنیتی استفاده از اپلیکیشنها و APIها تصمیم گیرنده هستند. هدف از مستند ده آسیبپذیری بحرانی امنیت API، تحلیل ریسک نیست.