La Metodología de calificación de riesgo de OWASP se utilizó para hacer el análisis de riesgo.
La siguiente tabla resume la terminología asociada con la puntuación de riesgo.
| Agente/Vector de Ataque | Explotabilidad | Prevalencia de Debilidad | Debilidad de Detectabilidad | Impacto Técnico | Impactos de Negocio |
|---|---|---|---|---|---|
| Específico de API | Fácil: 3 | Extendido 3 | Fácil 3 | Grave 3 | Específico de negocio |
| Específico de API | Promedio: 2 | Común 2 | Promedio 2 | Moderado 2 | Específico de negocio |
| Específico de API | Difícil: 1 | Difícil 1 | Difícil 1 | Menor 1 | Específico de negocio |
Nota: Esta forma de hacerlo no toma en cuenta la probabilidad del agente de amenaza. Tampoco toma en cuenta ninguno de los diversos detalles técnicos asociados con una aplicación en particular. Cualquiera de estos factores podría afectar significativamente la probabilidad general de que un atacante encuentre y explote a una vulnerabilidad en particular. Esta calificación no toma en cuenta el impacto real en su negocio. Su organización tendrá que decidir cuánto riesgo de aplicaciones y APIs está dispuesta a aceptar dependiendo de su cultura, industria y entorno regulatorio. El propósito de OWASP API Security Top 10 no es hacer este análisis de riesgo por usted.