OWASP · PauloASilva · Oct 29, 2024 · Sep 3, 2024 · Sep 28, 2024 · Oct 12, 2024
diff --git a/editions/2023/fa/0x00-header.md b/editions/2023/fa/0x00-header.md
@@ -0,0 +1,14 @@
+---
+title: ''
+description: 10 ریسک بحرانی امنیت API از منظر OWASP - 2023
+---
+
+![OWASP LOGO](images/cover.jpg)
+
+| | | |
+| - | - | - |
+| https://owasp.org | <div dir="rtl" align='right'> این اثر تحت مجوز زیر توسعه داده شده است: </div> [Creative Commons Attribution-ShareAlike 4.0 International License][1] | ![Creative Commons License Logo](images/front-cc.png) |
+
+[1]: http://creativecommons.org/licenses/by-sa/4.0/
+
+
diff --git a/editions/2023/fa/0x00-notice.md b/editions/2023/fa/0x00-notice.md
@@ -0,0 +1,13 @@
+# اطلاعیه
+
+این نسخه متنی OWASP API Security Top 10 است. به عنوان مرجع برای نسخه رسمی منتشر شده، در قالب یک سند قابل حمل  (PDF) استفاده می شود.
+
+مشارکت در پروژه مانند نظرات، اصلاحات یا ترجمه ها باید در اینجا انجام شود. برای جزئیات بیشتر در مورد نحوه مشارکت، لطفاً به CONTRIBUTING.md مراجعه فرمایید.
+
+* Erez Yallon
+* Inon Shkedy
+* Paulo Silva
+
+
+
+
diff --git a/editions/2023/fa/0x00-toc.md b/editions/2023/fa/0x00-toc.md
@@ -0,0 +1,23 @@
+# فهرست مطالب
+
+* [ فهرست مطالب](0x00-toc.md)
+* [درباره OWASP](0x01-about-owasp.md)
+* [ پیش‌گفتار](0x02-foreword.md)
+* [ مقدمه](0x03-introduction.md)
+* [ یادداشت](0x04-release-notes.md)
+* [ ریسک‌های امنیت API](0x10-api-security-risks.md)
+* [ ده ریسک امنیت API OWASP 2019](0x11-t10.md)
+* [API1:2019 مجوزدهی نادرست در سطح اشیا](0xa1-broken-object-level-authorization.md)
+* [API2:2019 احرازهویت نادرست کاربر](0xa2-broken-user-autentication.md)
+* [API3:2019 افشای مفرط داده](0xa3-excessive-data-exposure.md)
+* [API4:2019 کمبود منابع و نبود محدودیت بر نرخ ارسال](0xa4-lack-of-resources-and-rate-limiting.md)
+* [API5:2019 مجوزدهی نادرست در سطح توابع](0xa5-broken-function-level-authorizaion.md)
+* [API6:2019 تخصیص جمعی](0xa6-mass-assignment.md)
+* [API7:2019 پیکربندی امنیتی نادرست](0xa7-security-misconfiguration.md)
+* [API8:2019 تزریق ورودی‌های مخرب](0xa8-injections.md)
+* [API9:2019 مدیریت نادرست دارایی‌ها](0xa9-improper-asset-management.md)
+* [API10:2019 پایش و نظارت ناکافی](0xaa-insufficient-monitoring.md)
+* [ادامه برای توسعه دهندگان](0xb0-next-devs.md)
+* [ ادامه برای DevSecOps](0xb1-next-devsecops.md)
+* [ متدولوژی و داده](0xd0-about-data.md)
+* [سپاسگزاری](0xd1-acknowledgments.md)
diff --git a/editions/2023/fa/0x01-about-owasp.md b/editions/2023/fa/0x01-about-owasp.md
@@ -0,0 +1,43 @@
+# درباره OWASP
+
+پروژه بازمتن امنیت وب اپلیکیشن‌ها (OWASP)  جامعه ای باز و آزاد است که اختصاصا در حوزه توانمندسازی سازمان‌ها در حوزه توسعه، تهیه و ایجاد اپلیکیشن‌ها و APIهای قابل اعتماد فعالیت دارد.
+
+ در OWASP، موارد زیر را بصورت رایگان و آزاد خواهید یافت:
+
+* استانداردها و ابزارهای امنیت اپلیکیشن.
+* کتاب‌هایی درباره تست امنیت اپلیکیشن‌ها، توسعه ایمن کد و بازبینی امنیت کد.
+* ارائه‌ها و [ویدئوها][1].
+* [راهنما و برگه تقلب][2] برای بسیاری از موضوعات رایج.
+* کنترل‌ها و کتابخانه‌های استاندارد در حوزه امنیت.
+* [شعب محلی در سرتاسر جهان.][3]
+* تحقیقات به روز و پیشرو در حوزه امنیت.
+* [کنفرانس‌های تخصصی][4] در سرتاسر جهان.
+* [یست‌های پست الکترونیک][5] برای ارسال اخبار.
+
+اطلاعات بیشتر در: https://owasp.org
+
+تمامی ابزارها، مستندات، ویدئوها، ارائه‌ها و شعب OWASP رایگان بوده و استفاده از یا مشارکت در آنها برای کلیه افرادی که تمایل به بهبود امنیت اپلیکیشن‌ها دارند، آزاد است.
+
+در OWASP امنیت اپلیکیشن بعنوان مساله‌ای مهم از منظر افراد، فرایندها و فناوری‌ها در نظر گرفته می‌شود چرا که موثرترین رویکردها در امنیت اطلاعات نیز به بهبود در این حوزه‌ها نیاز دارند.
+
+OWASP تعریف جدیدی از سازمان ارائه می‌دهد. رهایی از بند فشار مسائل مالی امکان فراهم آوردن اطلاعات بیطرفانه، عملی و مقرون به صرفه در حوزه امنیت اپلیکیشن‌ها را به ما داده است.
+
+OWASP به هیچ کمپانی فناوری وابستگی ندارد اگرچه از استفاده آگاهانه از فناوری‌های تجاری در حوزه امنیت نیز حمایت می‌کنیم. OWASP انواع مختلفی از اطلاعات را به گونه‌ای همکارانه، شفاف و باز ارائه می‌دهد.
+
+بنیاد OWASP موجودیتی غیرانتفاعی و عام المنفعه است که توفیق بلند مدت پروژه OWASP را تضمین می‌نماید. تقریبا تمامی کسانی که با OWASP پیوند دارند، از قبیل اعضای هیئت مدیره، روسای شعبه‌ها، راهبران پروژه‌ها و اعضای پروژه‌ها داوطلبانه این همکاری را انجام می‌دهند. همچنین ما از تحقیقات نوآورانه در حوزه امنیت با ارائه کمک‌های مالی و زیرساختی حمایت می‌کنیم.
+
+به ما بپیوندید!
+
+## حق چاپ و مجوز
+
+![license](images/license.png)
+
+حق چاپ © 2003-2023 بنیاد OWASP. این اثر تحت مجوز [Creative Commons Attribution ShareAlike 4.0 International License][7] توسعه داده شده است. برای هرگونه استفاده مجدد یا انتشار، باید شرایط مجوز این اثر را برای دیگران شفاف نمایید.
+
+[1]: https://www.youtube.com/user/OWASPGLOBAL
+[2]: https://owasp.org/index.php/OWASP_Cheat_Sheet_Series
+[3]: https://owasp.org/index.php/OWASP_Chapter
+[4]: https://owasp.org/index.php/Category:OWASP_AppSec_Conference
+[5]: https://lists.owasp.org/mailman/listinfo
+[6]: https://www.owasp.org
+[7]: http://creativecommons.org/licenses/by-sa/4.0/
diff --git a/editions/2023/fa/0x02-foreword.md b/editions/2023/fa/0x02-foreword.md
@@ -0,0 +1,28 @@
+
+<div dir="rtl" align='right'>
+
+FW پیشگفتار
+========
+
+در دنیای مبتنی بر App امروز، یکی از ابعاد بنیادین نوآوری [1][واسط برنامه نویسی اپلیکیشن] یا همان APIها هستند. از بانک‌‌ها گرفته تا خرده فروشی‌‌ها، حوزه حمل نقل، اینترنت اشیا، وسائل نقلیه خودران و شهرهای هوشمند، APIها بخشی حیاتی از اپلیکیشن‌‌های موبایل، وب و SaaS به شمار می‌آیند.
+
+APIها ذاتا منطق اپلیکیشن و داده‌‌های حساسی از قبیل [PII][2] (داده‌‌هایی که به تنهایی و بدون نیاز به داده اضافی دیگر، هویت یک کاربر را عیان می کنند نظیر شماره ملی) را در معرض دید قرارداده و در نتیجه، به طور روزافزون توجه بخش بیشتری از مهاجمین را به خود جلب می‌نمایند. بدون داشتن APIهایی ایمن، توسعه سریع نوآوری‌‌های فناورانه، امکان پذیر نخواهد بود.
+
+اگر چه کماکان می‌توان از لیست ده آسیب‌پذیری امنیتی بحرانی وب اپلیکیشن‌‌ها نیز برای امنیت APIها بهره برد، اما با توجه به ماهیت خاص APIها نیاز به لیستی از تهدیدات امنیتی مختص آنها احساس می‌شود. مقوله امنیت API بر راهکارها و استراتژی‌‌های لازم برای فهم و رفع آسیب‌پذیری‌‌ها و تهدیدات امنیتی خاص و منحصر به APIها تمرکز دارد.
+
+اگر با پروژه OWASP Top 10 آشنایی داشته باشید، شباهت‌‌هایی بین آن و مستند پیش رو خواهید یافت: هر دو با نیت فهم آسان توسط مخاطب و قابلیت بکارگیری و انطباق در سازمان تهیه شده‌اند. در صورتی که با مجموعه‌‌های OWASP Top 10 آشنایی ندارید، بهتر است پیش از رفتن به سراغ لیست اصلی، بخش‌‌های ریسک‌‌های امنیتی API و متدلوژی و داده از همین مستند را مطالعه نمایید.
+
+با پرسش‌‌ها، نظرات و ایده‌‌های خود در GitHub پروژه می توانید در توسعه OWASP API Security Top 10 مشارکت کنید:
+• https://github.com/OWASP/API-Security/issues
+• https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
+
+در اینجا می توانید OWASP API Security Top 10 را بیابید:
+• https://www.owasp.org/index.php/OWASP_API_Security_Project
+• https://github.com/OWASP/API-Security
+
+بدین وسیله از تمامی مشارکت کنندگان در این پروژه که با تلاش‌‌های خود در بوجود آمدن آن نقش داشته اند سپاسگزاریم. لیست تمامی آنها در قسمت سپاسگزاری‌‌ها قابل مشاهده است. متشکریم!
+
+[1]: Application Programming Interface
+[2]: Personally Identifiable Information
+
+</div>
diff --git a/editions/2023/fa/0x03-introduction.md b/editions/2023/fa/0x03-introduction.md
@@ -0,0 +1,29 @@
+
+<div dir="rtl" align='right'>
+
+I مقدمه
+========
+
+به OWASP API Security Top 10 – 2023 خوش آمدید!
+به دومین ویراست ده ‌‌آسیب‌پذیری برتر امنیت API خوش آمدید. از زمان انتشار نسخه قبلی این سند در سال 2019، صنعت امنیت API به شدت رشد و تکامل یافته و اکنون می‌توان گفت که به بلوغ رسیده است. ما بر این باور هستیم که این مستند به عنوان مرجعی معتبر در صنعت امنیت به سرعت پذیرفته شده و به توسعه و پیشرفت آن کمک شایانی کرده است.
+[1][API] نقش مهمی در معماری اپلیکیشن‌‌های مدرن امروزی دارد. از آنجا که آگاهی بخشی امنیتی و نوآوری در این حوزه گام‌‌های مختلفی دارد، تمرکز بر نقاط ضعف رایج [2][APIها] اهمیت زیادی خواهد داشت.
+هدف اصلی مستند و پروژه ده ‌‌آسیب‌پذیری بحرانی امنیت API آموزش افراد دخیل در توسعه و نگهداری [2][APIها] از قبیل توسعه دهندگان، طراحان، معماران، مدیران و سازمان‌‌ها است. برای کسب اطلاعات بیشتر در مورد پروژه امنیت [2][API]، می‌توانید به صفحه پروژه مراجعه کنید.
+اگر با مجموعه OWASP Top 10 آشنا نیستید، پیشنهاد می‌کنیم به پروژه‌های زیر از این مجموعه را مطالعه کنید:
+- OWASP Cloud-Native Application Security Top 10
+- OWASP Desktop App Security Top 10
+- OWASP Docker Top 10
+- OWASP Low-Code/No-Code Top 10
+- OWASP Machine Learning Security Top Ten
+- OWASP Mobile Top 10
+- OWASP TOP 10
+- OWASP Top 10 CI/CD Security Risks
+- OWASP Top 10 Client-Side Security Risks
+- OWASP Top 10 Privacy Risks
+- OWASP Serverless Top 10
+
+در بخش متدلوژی و داده، اطلاعات بیشتری درباره نحوه ایجاد اولین نسخه از مستند حاضر خواهید یافت. در نسخه‌‌های آتی، جامعه امنیت را نیز دخیل نموده و به منظور دریافت داده‌‌های مرتبط، فراخوان عمومی خواهیم داد. در حال حاضر همگان را به مشارکت در انباره داده Github یا لیست پست الکترونیک ما از طریق ارسال سوال، نظر و پیشنهاد تشویق می‌کنیم.
+
+[1]: Application Programming Interface
+[2]: APIs
+
+</div>
diff --git a/editions/2023/fa/0x04-release-notes.md b/editions/2023/fa/0x04-release-notes.md
@@ -0,0 +1,23 @@
+
+<div dir="rtl" align='right'>
+
+RN یادداشت
+========
+
+مستند پیش رو دومین ویراست ده ‌‌آسیب‌پذیری بحرانی امنیت API می‌باشد که دقیقاً چهار سال پس از نسخه اول آن منتشر شده است. در طول این چهار سال، تغییرات زیادی در زمینه امنیت API رخ داده است. از جمله این تغییرات می‌توان به موارد زیر اشاره کرد: افزایش چشمگیر تعداد تراکنش‌ها و ارتباطات صورت گرفته از طریق APIها، رشد بیشتر پروتکل‌های API، شرکت‌ها و راه‌حل‌های جدید در حوزه API و توسعه مهارت‌ها و تکنیک‌های جدید توسط مهاجمان برای نفوذ به APIها. با توجه به این موارد، وقت آن رسیده بود که لیست ده آسیب‌پذیری برتر امنیتی به‌روز شود.
+با رشد و بهبود در صنعت امنیت API، برای نخستین بار، درخواستی عمومی برای جمع‌آوری داده در این زمینه ‌صورت گرفت. متأسفانه هیچ داده‌ای توسط افراد ارائه نشده، اما بر اساس تجربیات تیم پروژه، بازبینی دقیق از سوی متخصصان امنیت API و دریافت بازخورد از جامعه تخصصی در مورد نسخه آزمایشی، لیست جدیدی ایجاد شده است. برای آشنایی بیشتر با نحوه آماده سازی این مستند می‌توانید به بخش متدولوژی و داده مراجعه نمایید. همچنین جزئیات ریسک‌های امنیتی مرتبط در بخش ریسک‌‌‌های امنیتی API قابل مطالعه هستند.
+OWASP API Security Top 10 2023 مستندی آگاهی‌بخش است که آینده صنعت امنیت API را مورد توجه قرار می‌دهد. این مستند به دلیل تغییرات و تحولات سریع در امنیت منتشر شده و هدف آن ارتقاء آگاهی از ریسک‌های امنیتی مرتبط با API است. مستند حاضر، جایگزینی برای دیگر لیست‌های TOP 10 OWASP محسوب نمی‌شود. در این ویرایش به تعدادی از ریسک‌های مهم امنیتی مرتبط با API پرداخته شده که عبارتند از:
+•	دو مورد "افشای مفرط داده[1]* " و "تخصیص جمعی[2]* " با یکدیگر تلفیق شده‌اند و تمرکز بیشتری بر روی عامل مشترک آن‌ها، یعنی نقض اعتبارسنجی مجوز در سطح ویژگی‌های شیء[3]*  گذاشته‌ایم.
+•	در برخی موارد به جای اهمیت دادن به مدیریت موثر منابع و کنترل آنها تا زمان اتمام، فقط به مصرف فعلی منابع توجه می‌کنیم. 
+•	با ایجاد دسته‌بندی جدیدی به نام "دسترسی بدون ‌محدودیت به جریان‌های حساس کسب‌وکار"، بر دسته جدیدی از تهدیدات تمرکز کردیم. این تهدیدات معمولاً با استفاده از محدود کردن نرخ دسترسی به جریان‌های حساس مرتبط، کاهش پیدا می‌کنند. این اقدام به ارتقاء امنیت در مقابل این تهدیدات کمک خواهد کرد.
+•	عنصر "استفاده ناایمن از APIها" را به لیست اضافه کرده‌ایم تا به رفتار جدیدی که اخیراً مشاهده شده، توجه داشته باشیم. موضوع نام برده شده، به این اشاره دارد که مهاجمان به جای حمله مستقیم به APIهای هدف، به دنبال نقاط ضعف در خدمات متکامل هدف می‌گردند تا از طریق آن‌ها به هدف خود نفوذ کنند. این مسئله به مرور زمان افزایش یافته و اکنون زمان مناسبی است تا به جامعه درباره این خطر در حال افزایش، اطلاع‌رسانی شود.
+فهم تغییرات اساسی در معماری اپلیکیشن‌ها در سالیان گذشته از اهمیت زیادی برخوردار است. امروره APIها نقشی کلیدی در معماری ریزسرویس‌ها[4]* ، اپلیکیشن‌های تک صفحه ای (SPA )[5]*، اپلیکیشن‌های موبایل، اینترنت اشیاء و ... دارند.
+پروژه حاضر، حاصل تلاش فوق‌العاده داوطلبانه افراد متعددی بوده که بدون آن‌ها، به سرانجام رساندن آن امکان‌پذیر نبود که در بخش تقدیر و تشکر، از آن‌ها نام برده شده است. متشکریم!
+
+[1]: Excessive Data Exposure
+[2]: Mass Assignment
+[3]: object property level authorization validation failures
+[4]: Microservices
+[5]: Single Page Application
+
+</div>