La abreviación APIs viene de las siglas en inglés –Application Programing Interfaces- el cual nos podemos referir a una aplicación web sin la interfaz del usuario. La automatización y/o cualquier otro tipo de comunicación automatizada entre dos programas son realizada a través de los APIs. La comunicación puede ser más rápida y precisa al momento de consultar x recursos al servidor. Aunque no cuente con un interfaz, los programas tienen las instrucciones de cómo comunicarse uno con otro. El problema está en que estos APIs usualmente no son monitoreados o auditados de manera correcta; al no utilizar las mejores prácticas de seguridad.
Uno de los mayores riesgos de estos APIs son la pérdida de autenticación y control de acceso. Una de las razones por la que estos hallazgos son comunes es por el simple hecho de que no se utiliza un sistema de gestión de sesiones de manera correcta. La falla está en que el servidor A cuenta con un sistema de sesiones de manera correcta, en tanto que con el servidor B se realizan las consultas a estos recursos sin requerir ningún tipo de autenticación o un control de acceso que restringa el acceso a usuarios no autorizados e identificados. Si un atacante identifica este tipo de hallazgo puede explotarlo con fines de comprometer la confidencialidad, disponibilidad e integridad.
Estos tipos de hallazgos son identificados durante una auditoría web; un escaneo automatizado no logra identificarlos. Es por esta razón que se debe realizar de manera constante las auditorías web y utilizar las mejores prácticas de seguridad. También podemos entender que las APIs son tal cual como una aplicación web solo que no cuenta con una interfaz del usuario.