كثير من المطورين يعتقدون أن بناء API يتطلب فقط التأكد من أن "البيانات تظهر بشكل صحيح"، ويغفلون عن أن كل سطر برمجى غير مؤمن هو دعوة مفتوحة للمخترقين. حيت قمت مؤخراً بإجراء عملية محاكاة اختراق كاملة (Penetration Test) لمختبر "BookStore" الهدف لم يكن مجرد الدخول، بل الوصول إلى أقصى صلاحية ممكنة (Root Access) :
