Merge pull request #1 from eugenebmx/translation/russia_fixes

some fixes

Author: eugenebmx

2019/ru/src/0x01-about-owasp.md

@@ -40,12 +40,12 @@ open to anyone interested in improving application security.
 We advocate approaching application security as a people, process, and
 technology problem, because the most effective approaches to application
 security require improvements in these areas.
-Мы выступаем за подход к безопасности к разработке ПО как к проблеме на уровне людей, процессов и технологий, поскольку наиболее эффективные подходы к безопасности разработки ПО подразумевают улучшения на всех этих уровнях.
+Мы выступаем за подход к безопасности к разработке ПО как к проблеме на уровне людей, процессов и технологий, поскольку наиболее эффективные подходы к безопасности разработки ПО требует улучшения на всех этих уровнях.
 
 OWASP is a new kind of organization. Our freedom from commercial pressures
 allows us to provide unbiased, practical, and cost-effective information about
 application security.
-OWASP - это новый вид организации. Наша свобода от давления коммерческими организациями позволяет нам предоставлять беспристрастную, практичную и экономически оправданную информацию о разработке ПО.
+OWASP - это новый вид организации. Наша свобода от давления коммерческими организациями позволяет нам предоставлять беспристрастную, практичную и экономически оправданную информацию о безопасной разработке ПО.
 
 OWASP is not affiliated with any technology company, although we support the
 informed use of commercial security technology. OWASP produces many types of
@@ -69,8 +69,9 @@ Come join us!
 [Creative Commons Attribution Share-Alike 4.0 license][7]. For any reuse or
 distribution, you must make it clear to others the license terms of this work.
 
-Copyright © 2003-2019 The OWASP Foundation. Этот документ выпущен в соответствии с
-[лицензией Creative Commons Attribution Share-Alike 4.0][7]. При переиспользовании или распространении вы обязаны разъяснить условия лицензии настоящейго документа.
+Copyright © 2003-2019 The OWASP Foundation. 
+Этот документ выпущен в соответствии с
+[лицензией Creative Commons Attribution Share-Alike 4.0][7]. При переиспользовании или распространении вы обязаны разъяснить условия лицензии настоящего документа.
 
 [1]: https://www.youtube.com/user/OWASPGLOBAL
 [2]: https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series

2019/ru/src/0x02-foreword.md

@@ -21,7 +21,7 @@ to their particular nature, an API-specific security risks list is required.
 API security focuses on strategies and solutions to understand and mitigate the
 unique vulnerabilities and security risks associated with APIs.
 
-Не смотря на то, что более обширный web application security risks Top 10 по прежнему приемлем, ввиду специфики API, необходим отдельный список рисков безопасности, относящихся к API.
+Не смотря на то, что более обширный web application security risks Top 10 по прежнему приемлем, ввиду специфики API, необходим отдельный список рисков безопасности, относящихся к API. Стандарт по безопасности API фокусируется на стратегиях и решениях для понимания и предотвращения уникальных уязвимостей и рисков безопасности связанных с использованием API.
 
 If you're familiar with the [OWASP Top 10 Project][1], then you'll notice the
 similarities between both documents: they are intended for readability and

2019/ru/src/0x04-release-notes.md

@@ -26,7 +26,7 @@ modern API security issues. It was only possible due to a great effort of
 several volunteers, all of them listed in the [Acknowledgments][3] section.
 Thank you!
 
-OWASP API Security Top 10 - попытка повысить информированность о проблемах безопасности современных API. Он был возможен благодаря труду волонтеров, перечисленных в секции [Благодарность][3].
+OWASP API Security Top 10 - попытка повысить информированность о проблемах безопасности современных API. Он был возможен благодаря труду волонтеров, перечисленных в секции [Благодарность][3]. Спасибо вам!
 
 [1]: ./0xd0-about-data.md
 [2]: ./0x10-api-security-risks.md

2019/ru/src/0xa2-broken-user-authentication.md

@@ -28,8 +28,8 @@ An API is vulnerable if it:
 * Uses plain text, non-encrypted, or weakly hashed passwords.
 * Uses weak encryption keys.
 
-API уязвимо если:
-* Уязвимо к [перебору учетных данных][1], при условии, что у злоумышленника есть списки валидных логинов и паролей.
+API уязвимо, если:
+*  Позволяет [перебор учетных данных][1], при условии, что у злоумышленника есть списки валидных логинов и паролей.
 * Позволяет злоумышленнику подбирать пароль к одной и той же учетной записи путем перебора, не требуя ввода CAPTCHA или не блокируя учетную запись.
 * Допускает слабые пароли.
 * Передает конфиденциальные аутентификационные данные в URL, например, аутентификационные токены или пароли.
@@ -59,7 +59,7 @@ possible combinations using a multi-threaded script, against the
 `/api/system/verification-codes/{smsToken}` endpoint to discover the right token
 within a few minutes.
 
-Злоумышленник начинет восстановление пароля, отправляя POST запрос в точку входа `/api/system/verification-codes` и указывая имя пользователя в теле запроса. Затем одноразовый пароль из 6 цифр отправляется на телефон жертвы. Поскольку API не ограничивает количество запросов, злоумышленник может за несколько минут подобрать корректный одноразовый пароль, перебирая все возможные пароли с помощью скрипта, работающего в много потоков и отправляющего запросы на `/api/system/verification-codes/{smsToken}`.
+Злоумышленник начинет восстановление пароля, отправляя POST запрос в точку входа `/api/system/verification-codes` и указывая имя пользователя в теле запроса. Затем одноразовый пароль из 6 цифр отправляется на телефон жертвы. Поскольку API не ограничивает количество запросов, злоумышленник может за несколько минут подобрать корректный одноразовый пароль, перебирая все возможные пароли с помощью скрипта, работающего в мультипоточном режиме и отправляющего запросы на `/api/system/verification-codes/{smsToken}`.
 
 ## Как предотвратить?
 
@@ -85,7 +85,7 @@ within a few minutes.
 
 * Идентифицируйте все возможные способы аутентификации в API (для мобильных и веб клиентов, deep links обеспечивающие аутентификацию в одно нажатие и так далее).
 * Обсудите с разработчиками способы аутентификации, которые вы пропустили.
-* Изучите используемые механизмы аутентификации. Изучите что они из себя представляют и как используются. OAuth не используется для аутентификации, так же как и API ключи.
+* Изучите используемые механизмы аутентификации. Изучите что они из себя представляют и как используются. OAuth не используется для аутентификации пользователей, так же как и API ключи.
 * Не изобратайте велосипед, когда речь идет об аутентификации, генерации токенов и хранении паролей. Используйте стандарты.
 * Внедрите защиту от перебора, ограничение на количество единовременных запросов и временную блокировку учетных записей на точках входа, отвечающих за восстановление учетных данных и пароля, аналогично мерам защиты реализованным на точках входа, используемых для аутентификации.
 * Ознакомьтесь с [OWASP Authentication Cheatsheet][3].

2019/ru/src/0xa3-excessive-data-exposure.md

@@ -62,7 +62,7 @@ the site.
   security. As part of this mechanism define and enforce data returned by all
   API methods, including errors.
 
-* Не рассчитывайте, что клиентское приложение отфильтрует данные.
+* Не рассчитывайте на клиентскую часть приложения для фильтрации данных .
 * Проверьте, что ответы API содержат только те данные, которые отображаются клиентским приложением.
 * Разработчики серверной части должны всегда задаваться вопросом "Кто получит данные?" перед публикацией новых точек входа API.
 * Избегайте использования стандартных методов, например, `to_json()` или `to_string()`. Вместо этого вручную выбирайте свойства объектов, которые вы возвращаете в ответе.