This is the translation for brazilian portuguese.

2019/en/src/0xa2-broken-user-authentication.md

@@ -23,7 +23,7 @@ An API is vulnerable if it:
 * Doesn’t validate the authenticity of tokens.
 * Accepts unsigned/weakly signed JWT tokens (`"alg":"none"`)/doesn’t
   validate their expiration date.
-* Uses plain text, encrypted, or weakly hashed passwords.
+* Uses plain text, non-encrypted, or weakly hashed passwords.
 * Uses weak encryption keys.
 
 ## Example Attack Scenarios

2019/pt-br/CONTRIBUTING.md

@@ -0,0 +1,46 @@
+Como contribuir
+===============
+
+Quando quiser contribuir com este repositório, por favor, antes discuta a mudança que deseja fazer enviando a questão com o proprietário do repositório antes de efetivar a mudança. Correções de digitação ou de refraseamento para melhor compreensão NÃO requerem discussão com o proprietário.
+
+## Modelo de *branching*
+
+Este repositório mantém dois *branches* principais com um tempo de vida indefinido:
+* `master` é o *branch* padrão e que portanto reflete a última *release*.
+* `develop` é o *branch* padrão refletindo as últimas modificações para o próximo *release*. Quando o *branch* `develop` alcança um estágio estável e está pronto para liberação de uma versão nova e final, todas as modificações desde são unificadas de volta no *branch* `master`.
+
+Uma variadade de *branches* de suporte são utilizadas para cuidar de desenvolvimentos paralelos. Estes tipos de *branches* possuem um tempo de vida limitado, até serem eventualmente e definitivamente removidos.
+
+## Contribuindo
+
+Contribuições a este repositório são bem-vindas. Para facilitar o gerencialmente, por favor, siga os passos abaixo descritos:
+
+1. Faça o *fork* do repositório na sua conta.
+
+2. Faça o clone desse repositório localmente.
+   ```
+   git clone https://github.com/YOU/API-Security.git
+   ```
+3. Crie um novo *branch* baseado no `develop` do projeto original. (Ex.: `fix/foreword-section`)
+   ```
+   git checkout develop && git checkout -b fix/foreword-section
+   ```
+4. Aplique suas modificações conforme necessário.
+
+   Por favor, sempre tenha atenção para seguir nossa convenção de estilos.
+
+   Embora exista um arquivo [`.editorconfig`][1] na raíz do repositório, seu editor pode talvez não suportá-lo. Para aprender mais sobre o [EditorConfig][2] e o suporte a IDEs e editores, consulta o website: https://editorconfig.org/.
+
+5. Faça o commit da suas mdificações.
+
+   1. Verifique os arquivos modificados e adicione apenas estes (ex.: artefatos de compilação NÃO DEVEM estar sob controle de versão).
+   2. A primeira linha da mensagem de *commit* deve informar uma breve descrição das modificações. Você pode detalhar melhor as mudanças no corpo do *commit*.
+
+6. Faça o *push* das mudanças para seu repositório público.
+   ```
+   git push origin fix/foreword-section
+   ```
+7. Abra um *pull request* do seu *branch* `fix/foreword-section` para o *branch* `develop` do repositório original do projeto.
+
+[1]: .editorconfig
+[2]: https://editorconfig.org/

2019/pt-br/README.md

@@ -0,0 +1,48 @@
+Os dez mais críticos riscos de segurança de API
+===============================================
+
+Uma tradução para o português do Brasil do projeto OWASP API Security Top 10.
+
+Este projeto é desenhado para endereçar o contínuo aumento de organizações que entregam dados potencialmente sensíveis por meio de APIs em suas ofertas de software. Estas APIs são utilizadas para tarefas internas e para interface com parceiros. Infelizmente, muitas APIs não são submetidas a testes rigorosos de segurança, o que pode colaborar a deixá-las inseguras à ataques.
+
+O projeto OWASP API Security Project procura entregar valor aos desenvolvedores de software e também aos profissionais de segurança pontuando os potenciais riscos de APIs inseguras, e ilustrar como tais riscos podem ser mitigados. Como uma maneira de facilitar este objetivo, o OWASP API Security Project irá criar e manter o documento com os dez principais riscos, bem como um portal com a documentação com as melhores práticas para criação e acesso de APIs.
+
+## Descrição
+
+Equanto trabalhávamos com desenvolvedores ou consultores da segurança da informação, muitas pessoas encontraram APIs como partes de seus projetos. Euquanto existem algumas fontes que apoiam na criação e avaliação desse tipo de projeto (como o projeto OWASP REST Security Cheat Sheet), não havia um projeto destinado a assistir fabricantes, atacantes e defensores na comunidade.
+
+Este projeto tem como alvo:
+
+* Criar o documento OWASP Top Ten API Security Risks, o qual destacará de forma fácil os riscos mais comuns de segurança na área das APIs.
+* Criar um portal de documentação para desenvolvedores a construírem APIs de forma segura.
+* Trabalhar próximo à comunidade de segurança para manter vivos os documentos acompanhando as tendências de segurança.
+
+## Líderes do Projeto
+
+* [Erez Yalon][0]
+* [Inon Shkedy][5]
+
+## Tradutores do Projeto
+
+**Português do Brasil**
+
+* [Raphael Hagi][6]
+* [Eduardo Bellis][7]
+* [Bruno Barbosa][8]
+
+
+## Licenciamento
+
+**Os documentos do OWASP API Security Project são livres para uso!**
+
+O projeto OWASP API Security Project é licenciado sob Atribuição-CompartilhaIgual 4.0 Internacional (CC BY-SA 4.0)][1], então você pode copiar, distribuir e transmitir este trabalho. Você também pode adaptá-lo e usá-lo comercialmente, desde que dê os créditos ao trabalho. Se você alterar, transformar ou construir algo a partir deste trabalho, você pode distribuir o fruto desse trabalho apenas sob a mesma licença deste ou licença similar.
+
+[0]: https://www.owasp.org/index.php/User:ErezYalon
+[1]: https://creativecommons.org/licenses/by-sa/4.0/deed.pt_BR
+[2]: https://github.com/OWASP/API-Security/blob/develop/2019/en/dist/owasp-api-security-top-10.pdf
+[3]: https://github.com/OWASP/API-Security/tree/develop/
+[4]: https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
+[5]: https://www.owasp.org/index.php/User:Inon
+[6]: https://www.linkedin.com/in/raphael-hagi/
+[7]: https://www.linkedin.com/in/eduardo-bellis-92482534/
+[8]: https://www.linkedin.com/in/bbarbosa85/

2019/pt-br/src/0x00-header.md

@@ -0,0 +1,17 @@
+![OWASP LOGO](images/owasp-logo.png)
+
+## Os dez mais críticos riscos de segurança de API
+
+Uma tradução para o português do Brasil do projeto original "The Ten Most Critical API Security Risks"
+
+March 10th, 2020
+
+![OWASP Logo URL TBA](images/front-wasp.png)
+
+| | | |
+| - | - | - |
+| https://owasp.org | Este trabalho é licenciado sob a [Atribuição-CompartilhaIgual 4.0 Internacional (CC BY-SA 4.0)][1] | ![Creative Commons License Logo](images/front-cc.png) |
+
+[1]: https://creativecommons.org/licenses/by-sa/4.0/deed.pt_BR
+
+

2019/pt-br/src/0x00-notice.md

@@ -0,0 +1,11 @@
+Nota
+======
+
+Esta é a versão em formato texto do projeto "OWASP API Security Top 10", sendo utilizado como fonte da versão oficial distribuída no formato PDF.
+
+Contribuições com o projeto, tais como comentários, correções ou traduções devem ser feitos por aqui. Para mais detalhes, veja o ducumento [Como contribuir][1], consulte também o documento [CONTRIBUTING.md][1].
+
+* Erez Yallon
+* Inon Shkedy
+
+[1]: ../CONTRIBUTING.md

2019/pt-br/src/0x00-toc.md

@@ -0,0 +1,24 @@
+Tabela de conteúdo
+==================
+
+* [Tabela de conteúdo](0x00-toc.md)
+* [Sobre o OWASP](0x01-about-owasp.md)
+* [Prefácio](0x02-foreward.md)
+* [Introdução](0x03-introduction.md)
+* [Notas da Versão](0x04-release-notes.md)
+* [Riscos de Segurança de API](0x10-api-security-risks.md)
+* [OWASP Top 10 Riscos de Segurança de API – 2019](0x11-t10.md)
+* [API1:2019 Broken Object Level Authorization](0xa1-broken-object-level-authorization.md)
+* [API2:2019 Broken User Authentication](0xa2-broken-user-authentication.md)
+* [API3:2019 Excessive Data Exposure](0xa3-excessive-data-exposure.md)
+* [API4:2019 Lack of Resources & Rate Limiting](0xa4-lack-of-resources-and-rate-limiting.md)
+* [API5:2019 Broken Function Level Authorization](0xa5-broken-function-level-authorization.md)
+* [API6:2019 Mass Assignment](0xa6-mass-assignment.md)
+* [API7:2019 Security Misconfiguration](0xa7-security-misconfiguration.md)
+* [API8:2019 Injection](0xa8-injection.md)
+* [API9:2019 Improper Assets Management](0xa9-improper-assets-management.md)
+* [API10:2019 Insufficient Logging & Monitoring](0xaa-insufficient-logging-monitoring.md)
+* [Próximos passos para Desenvolvedores](0xb0-next-devs.md)
+* [Próximos passos para DevSecOps](0xb1-next-devsecops.md)
+* [Metodologia e Dados](0xd0-about-data.md)
+* [Agradecimentos](0xd1-acknowledgments.md)

2019/pt-br/src/0x01-about-owasp.md

@@ -0,0 +1,44 @@
+Sobre o OWASP
+=============
+
+OWASP é o acrônimo em inglês para "Open Web Application Security Project", é uma comunidade aberta, dedicada a habilitar as organizações a desenvolver, comprar e manter aplicações e APIs que podem ser confiáveis.
+
+No OWASP, você irá encontrar de forma gratuita e aberta:
+
+*  Ferramentas e padrões de segurança de aplicativos.
+* Livros completos sobre testes de segurança de aplicativos, desenvolvimento seguro de código e revisão de código seguro.
+* Apresentações e [vídeos][1].
+* [Cheat sheets][2] em diversos tópicos.
+* Padrões de controles de segurança e bibliotecas.
+* [Capítulos locais em todo o mundo][3].
+* Pesquisas inovadoras.
+* Extensivas [conferências ao redor do mundo][4].
+* [Listas de e-mail][5].
+
+Saiba mais em: [https://www.owasp.org][6].
+
+No OWASP, todas as ferramentas, documentações, vídeos, apresentações e capítulos são gratuitos e abertos para qualquer um interessado em melhorar a segurança de aplicações
+
+Nós advogamos a abordagem da segurança das aplicações como um problema de pessoas, processos e tecnologia, uma vez que as abordagens mais efetivas na segurança de aplicações necessitam de melhorias nestas áreas.
+
+O OWASP é um novo tipo de organização. Nossa independência de pressão comercial permite-nos prover informações e práticas livres de vieses e de efetivo custo benefício sobre segurança de aplicações.
+
+O OWASP não é afiliado a qualquer empresa de tecnologia, embora nosso suporte ao uso de tecnologias comercias. O OWASP produz diversos materiais de forma colaborativa, transparente e aberta.
+
+A Fundação OWASP é uma entidade não comercial, que encoraja projetos de sucesso há muito tempo. Praticamente todos os envolvidos com o OWASP são voluntários, incluindo os que integram a diretoria, líderes de capítulos, líderes de projetos e membros de cada projeto. Nós apoiamos pesquisas inovadoras de segurança com doações e infraestrutura.
+
+Venha conosco!
+
+## Licença e Copyright
+
+![license](images/license.png)
+
+Copyright © 2003-2019 The OWASP Foundation. Este documento é liberado sob a [Atribuição-CompartilhaIgual 4.0 Internacional (CC BY-SA 4.0)][7]. Para qualquer reuso ou distribuição, tenha certeza à terceiros os termos deste trabalho.
+
+[1]: https://www.youtube.com/user/OWASPGLOBAL
+[2]: https://owasp.org/www-project-cheat-sheets/
+[3]: https://owasp.org/chapters/
+[4]: https://wiki.owasp.org/index.php/Category:OWASP_AppSec_Conference
+[5]: https://lists.owasp.org/mailman/listinfo
+[6]: https://owasp.org/
+[7]: https://creativecommons.org/licenses/by-sa/4.0/deed.pt_BR

2019/pt-br/src/0x02-foreword.md

@@ -0,0 +1,27 @@
+Prefácio
+========
+
+Elemento fundamental na inovação nas soluções *app-driven* nos dias de hoje são as APIs (*Application Programming Interface*). Desde os bancos, lojas, transportes, IoT, veículos autônomos e cidades inteligentes, as APIs são parte crítica de soluções modernas de móvel, SaaS, aplicações web em geral, e podem ser encontradas em interfaces com o cliente, parceiros e aplicações internas.
+
+Por natureza, as APIs expõem a lógica dos aplicativos e dados sensíveis, inclusive, dados pessoais sensíveis, e por esta razão, as APIs vem se tornando cada vez mais alvo de atacantes. Sem APIs seguras, inovações podem se tornar impossíveis.
+
+Embora uma ampla avaliação de Top 10 a respeito da segurança de aplicações fala sentido, em razão de suas particularidades, uma lista de riscos de segurança específica para APIs também é um requisito. A segurança de APIs tem foco em estratégias e soluções para a compreensão e mitigação de vulnerabilidades únicas associadas às APIs.
+
+Se você é familiarizado com o projeto [OWASP Top 10][1], irá perceber similaridades entre os dois documentos: Isto é intencional para facilitar a compreensão e adoção. Se você é um novato nas séries Top 10 do OWASP, talvez seja melhor você ler atentamente as seções [Riscos de Segurança de API][2] e [Metodologia e Dados][3] antes.
+
+Você pode contribuir com o projeto OWASP API Security Top 10 com questionamentos, comentários e ideias por meio do repositório do projeto no GitHub:
+
+* https://github.com/OWASP/API-Security/issues
+* https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
+
+Você encontra o OWASP API Security Top 10 aqui:
+
+* https://owasp.org/www-project-api-security/
+* https://github.com/OWASP/API-Security
+
+Nós gostaríamos de agradecer a todos colaboradores que fizeram este projeto possível com seus esforços e contribuições. Todos que participaram estão listados na seção [Agradecimentos][4]. Obrigado!
+
+[1]: https://owasp.org/www-project-top-ten/
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd0-about-data.md
+[4]: ./0xd1-acknowledgments.md

2019/pt-br/src/0x03-introduction.md

@@ -0,0 +1,17 @@
+Introdução
+============
+
+## Seja bem-vindo ao OWASP API Security Top 10 - 2019!
+
+Seja bem-vindo à primeira edição do projeto OWASP API Security Top 10. Se você está familiarizado com a série Top 10 do OWASP, irá perceber certas similaridades: elas são intencionais para melhor leitura a adoção. Se não é o seu caso, considere visitar a [wiki][1] do projeto antes de mergulhar mais profundamente nos mais críticos riscos de segurança de APIs.
+
+As APIs possuem papel fundamental na arquitetura de aplicações modernas. Inovação e consciência de segurança possuem ritmos diferentes. É importante ter foco nas fraquezas mais comuns na segurança de APIs.
+
+O primeiro objetivo do projeto OWASP API Security Top 10 é educar aqueles que estejam envolvidos no desenvolvimento e manutenção de APIs. Podem ser, por exemplo: desenvolvedores, designers, arquitetos, gerentes e organizações.
+
+Na seção [Metodologia e Dados][2] você pode ler mais a respeito de como esta primeira versão foi criada. Em futuras versões, desejamos envolver a indústria da segurança com uma chamada pública para contribuição de dados. Por ora, nós encorajamos todos que possam contribuir com questionamentos, comentários e ideias em nosso [repositório no GitHub][3] ou nossa [lista de e-mails][4].
+
+[1]: https://owasp.org/www-project-api-security/
+[2]: ./0xd0-about-data.md
+[3]: https://github.com/OWASP/API-Security
+[4]: https://groups.google.com/a/owasp.org/forum/#!forum/api-security-project

2019/pt-br/src/0x04-release-notes.md

@@ -0,0 +1,14 @@
+Notas da Versão
+===============
+
+Esta é a primeira edição do projeto OWASP API Security Top 10, que desejamos que seja atualizado periodicamente a cada três ou quatro anos.
+
+Ao contrário dessa versão, para o futuro, desejamos fazer uma chamada pública por dados e envolver a indústria de segurança neste esforço. Na seção [Metodologia e Dados][1] você irá encontrar mais detalhes a respeito de como esta versão foi construída. Para mais detalhes a respeito de riscos de segurança, consulte a seção [Riscos de Segurança de API][2].
+
+É importante realizar que durante os últimos anos a arquitetura das aplicações foram significativamente modificadas. Atualmente, as APIs representam um papel muito importante nessa nova arquitetura de microserviços, *single page applications*, aplicativos móveis, IoT e etc.
+
+O projeto OWASP Security Top 10 foi um esforço necessário para criar uma consciência a respeito de problemas de segurança de APIs. Este projeto só foi possível com o esforço de diversos voluntários, todos listados na seção [Agradecimentos][3]. Obrigado!
+
+[1]: ./0xd0-about-data.md
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd1-acknowledgments.md

2019/pt-br/src/0x10-api-security-risks.md

@@ -0,0 +1,39 @@
+Riscos de Segurança de API
+==========================
+
+A [Metodologia de Avaliação de Risco do OWASP][1] foi adotada para a análise dos riscos de API. 
+
+A tabela abaixo resume a terminologia associada à pontuação de risco.
+
+| Agentes de Ameaça | Explorabilidade | Prevalência da Fraqueza | Detecção da Fraqueza | Impacto Técnico | Impacto ao Negócio |
+| :-: | :-: | :-: | :-: | :-: | :-: |
+| Específico da API | Fácil: **3** | Difundida **3** | Fácil **3** | Severo **3** | Específico do negócio |
+| Específico da API | Média: **2** | Comum **2** | Média **2** | Moderado **2** | Específico do negócio |
+| Específico da API | Difícil: **1** | Difícil **1** | Difícil **1** | Menor **1** | Específico do negócio |
+
+**Nota**: Esta abordagem não leva em consideração um agente de ameaça interno. Também não considera detalhes técnicos associados à sua aplicação em específico. Estes são fatores que podem afetar de maneira significativa a probabilidade de um atacante encontrar e explorar vulnerabilidades específicas. Esta classificação também não avalia impactos ao seu negócio. Sua organização terá que decidir quanto risco de segurança de aplicativos e APIs que a organização está disposta a aceitar, dada sua cultura, indústria e ambiente regulatório. O propósito do OWASP API Security top 10 não é desenvolver uma análise de risco por você.
+
+## Referências
+
+### OWASP
+
+* [OWASP Risk Rating Methodology][1]
+* [Article on Threat/Risk Modeling][2]
+
+### Externas
+
+* [ISO 31000: Risk Management Std][3]
+* [ISO 27001: ISMS][4]
+* [NIST Cyber Framework (US)][5]
+* [ASD Strategic Mitigations (AU)][6]
+* [NIST CVSS 3.0][7]
+* [Microsoft Threat Modeling Tool][8]
+
+[1]: https://owasp.org/www-project-risk-assessment-framework/
+[2]: https://owasp.org/www-community/Application_Threat_Modeling
+[3]: https://www.iso.org/iso-31000-risk-management.html
+[4]: https://www.iso.org/isoiec-27001-information-security.html
+[5]: https://www.nist.gov/cyberframework
+[6]: https://www.asd.gov.au/infosec/mitigationstrategies.htm
+[7]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
+[8]: https://www.microsoft.com/en-us/download/details.aspx?id=49168