Translation/pt pt

2019/pt-pt/src/0x00-header.md

@@ -0,0 +1,17 @@
+![OWASP LOGO](images/owasp-logo.png)
+
+## OWASP API Security Top 10 2019
+
+Os Dez Problemas de Segurança Mais Críticos em APIs
+
+29 de Maio, 2019
+
+![WASP Logo URL TBA](images/front-wasp.png)
+
+| | | |
+| - | - | - |
+| https://owasp.org | Distribuído ao abrigo da licença [Creative Commons Attribution-ShareAlike 4.0 International License][1] | ![Creative Commons License Logo](images/front-cc.png) |
+
+[1]: http://creativecommons.org/licenses/by-sa/4.0/
+
+

2019/pt-pt/src/0x00-notice.md

@@ -0,0 +1,14 @@
+Nota
+====
+
+Esta é a versão de texto do OWASP API Security Top 10, usada como fonte para a
+versão oficial distribuída em formato PDF - Portable Document Format.
+
+Contribuições para o projeto tais como comentários, correções ou traduções devem
+ser feitas aqui. Para mais detalhes sobre [Como Contribuir][1], por favor
+consulte a secção [CONTRIBUTING.md][1].
+
+* Erez Yallon
+* Inon Shkedy
+
+[1]: ../../CONTRIBUTING.md

2019/pt-pt/src/0x00-toc.md

@@ -0,0 +1,24 @@
+Tabela de Conteúdos
+===================
+
+* [Tabela de Conteúdos](0x00-toc.md)
+* [Sobre a OWASP](0x01-about-owasp.md)
+* [Prefácio](0x02-foreward.md)
+* [Introdução](0x03-introduction.md)
+* [Notas da Versão](0x04-release-notes.md)
+* [Riscos de Segurança em APIs](0x10-api-security-risks.md)
+* [OWASP Top 10 API Security Risks – 2019](0x11-t10.md)
+* [API1:2019 Broken Object Level Authorization](0xa1-broken-object-level-authorization.md)
+* [API2:2019 Broken User Authentication](0xa2-broken-user-authentication.md)
+* [API3:2019 Excessive Data Exposure](0xa3-excessive-data-exposure.md)
+* [API4:2019 Lack of Resources & Rate Limiting](0xa4-lack-of-resources-and-rate-limiting.md)
+* [API5:2019 Broken Function Level Authorization](0xa5-broken-function-level-authorization.md)
+* [API6:2019 Mass Assignment](0xa6-mass-assignment.md)
+* [API7:2019 Security Misconfiguration](0xa7-security-misconfiguration.md)
+* [API8:2019 Injection](0xa8-injection.md)
+* [API9:2019 Improper Assets Management](0xa9-improper-assets-management.md)
+* [API10:2019 Insufficient Logging & Monitoring](0xaa-insufficient-logging-monitoring.md)
+* [O Que Se Segue Para Programadores](0xb0-next-devs.md)
+* [O que Se Segue Para DevSecOps](0xb1-next-devsecops.md)
+* [Metodologia e Dados](0xd0-about-data.md)
+* [Agradecimentos](0xd1-acknowledgments.md)

2019/pt-pt/src/0x01-about-owasp.md

@@ -0,0 +1,61 @@
+Sobre a OWASP
+===========
+
+OWASP - Open Web Application Security Project é uma comunidade aberta que se
+dedica a ajudar as organizações a desenvolver, adquirir e manter aplicações e
+APIs confiáveis.
+
+A OWASP disponibiliza de forma livre e aberta:
+
+* Ferramentas e normas de segurança aplicacional
+* Livros completos sobre testes de segurança aplicacional, desenvolvimento
+  de código seguro e revisão de código focada em segurança
+* Apresentações e [vídeos][1]
+* [_Cheat Sheets_][2] sobre assuntos diversos
+* Controlos e bibliotecas de segurança _standard_
+* [Comunidades locais espalhados por todo o mundo][3]
+* Investigação de ponta
+* Múltiplas [conferências em todo o mundo][4]
+* [Listas de discussão][5]
+
+Mais informação em: [https://www.owasp.org][6].
+
+Todas as ferramentas, documentos, vídeos, apresentações e comunidades locais da
+OWASP são livres e abertos a todos os interessados em melhorar a segurança
+aplicacional.
+
+Aconselhamos uma abordagem à segurança aplicacional como sendo um problema de
+pessoas, processos e tecnologia, porque as abordagens mais eficazes à segurança
+aplicacional necessitam de melhorias em todas estas áreas.
+
+A OWASP é um novo tipo de organização. A nossa independência em relação a
+pressões comerciais permite-nos fornecer informação imparcial, prática e
+economicamente adequada sobre a segurança aplicacional. A OWASP não está
+afiliada com nenhuma empresa tecnológica, embora suportemos o uso informado de
+tecnologias de segurança comerciais. A OWASP produz muitos tipos de materiais
+de uma forma colaborativa, transparente e aberta.
+
+A fundação OWASP é uma entidade sem fins lucrativos o que assegura o sucesso a
+longo prazo do projeto. Quase todas as pessoas associadas à OWASP são
+voluntárias, incluindo a direção da OWASP, os líderes das comunidades locais, os
+líderes dos projetos e os seus membros. Suportamos investigação inovadora em
+segurança através de bolsas e infraestrutura.
+
+Junte-se a nós!
+
+## Copyright and License
+
+![license](images/license.png)
+
+Copyright © 2003-2019 The OWASP Foundation. Este documento é distribuído de
+acordo com a licença [Creative Commons Attribution Share-Alike 4.0][7]. Para
+qualquer tipo de reutilização ou distribuição, deve deixar claro para terceiros
+os termos da licença deste trabalho.
+
+[1]: https://www.youtube.com/user/OWASPGLOBAL
+[2]: https://owasp.org/www-project-cheat-sheets/
+[3]: https://owasp.org/chapters/
+[4]: https://owasp.org/events/
+[5]: https://lists.owasp.org/mailman/listinfo
+[6]: https://www.owasp.org
+[7]: http://creativecommons.org/licenses/by-sa/4.0/

2019/pt-pt/src/0x02-foreword.md

@@ -0,0 +1,50 @@
+Prefácio
+========
+
+As APIs - _Application Programming Interface_ têm um papel fundamental na
+inovação que observamos nos dias de hoje ao nível das aplicações. Desde a banca,
+retalho e transportes à Internet das Coisas (IoT), veículos autónomos e _Smart
+Cities_, as APIs são hoje um elemento crítico nas aplicações móveis, _Software
+as a Service_ (SaaS) e aplicações web, sejam elas destinadas ao público em
+geral, parceiros de negócio ou para uso interno das organizações.
+
+Por definição as APIs expõem lógica aplicacional e dados sensíveis tais como
+informação pessoal (PII - _Personally Identifiable Information_), motivo pelo
+qual se têm vindo a tornar um alvo para os atacantes. Se não conseguirmos
+garantir a segurança das APIs será impossível continuar a inovar a um ritmo
+acelerado.
+
+Apesar de continuar a fazer sentindo manter uma lista dos 10 principais
+problemas de segurança em aplicações web, devido à natureza particular das APIs,
+é importante haver também uma tal lista específica para APIs.
+A segurança das APIs foca-se nas estratégias e soluções para compreender e
+mitigar as vulnerabilidades e risco de segurança associado às APIs.
+
+Se estiver familiarizado com o projeto [OWASP Top 10][1] com certeza notará as
+semelhanças entre os documentos: elas são propositadas para facilitar a leitura
+e adoção deste. Se por outro lado for a primeira vez que tem contacto com um
+documento da série OWASP Top 10, sugerimos que comece por ler as secções [Riscos
+de Segurança em APIs][2] e [Metodologia e Dados][3] antes de aprofundar a lista
+dos dez problemas de segurança mais críticos em APIs.
+
+Pode contribuir para o OWASP API Security Top 10 com perguntas, comentários e
+ideias no repositório do projeto no GitHub:
+
+* https://github.com/OWASP/API-Security/issues
+* https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
+
+Pode ainda encontrar o OWASP API Security Top 10 em:
+
+* https://owasp.org/www-project-api-security/
+* https://github.com/OWASP/API-Security
+
+Gostaríamos de agradecer a todos os que participaram neste projeto, tornando-o
+possível com o seu empenho e contribuições. A lista de contribuidores
+encontra-se na secção [Agradecimentos][4].
+
+Obrigado!
+
+[1]: https://owasp.org/www-project-top-ten/
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd0-about-data.md
+[4]: ./0xd1-acknowledgments.md

2019/pt-pt/src/0x03-introduction.md

@@ -0,0 +1,30 @@
+Introdução
+==========
+
+## Bem-vindo ao OWASP API Security Top 10 - 2019!
+
+Bem-vindo à primeira edição do OWASP API Security Top 10. Se estiver
+familiarizado com a série OWASP Top 10 seguramente notará as semelhanças: elas
+são propositadas em prol da compreensão e adoção deste documento. Caso este seja o seu
+primeiro contacto com este tipo de documento, considere visitar a página do
+[OWASP API Security Project][1] antes de prosseguir para os principais problemas
+de segurança de APIs.
+
+As APIs desempenham um papel muito importante na arquitetura das aplicações
+modernas. Uma vez que a consciencialização para a segurança e a inovação têm
+ritmos diferentes, é importante concentrarmo-nos nas falhas mais comuns em APIs.
+
+O objetivo principal do OWASP API Security Top 10 é educar todos aqueles
+envolvidos no desenvolvimento e manutenção de APIs, como por exemplo,
+programadores, _designers_, arquitetos, gestores ou organizações.
+
+Na secção [Metodologia e Dados][2] pode ler mais sobre como esta primeira
+edição foi criada. Nas versões futuras queremos envolver a industria de
+segurança através duma chamada pública para contribuição de dados. Por agora
+encorajamos todos a contribuírem com perguntas, comentários e ideias no nosso
+[repositório no GitHub][3] ou através da [_Mailing list_][4].
+
+[1]: https://owasp.org/www-project-api-security/
+[2]: ./0xd0-about-data.md
+[3]: https://github.com/OWASP/API-Security
+[4]: https://groups.google.com/a/owasp.org/forum/#!forum/api-security-project

2019/pt-pt/src/0x04-release-notes.md

@@ -0,0 +1,45 @@
+Notas da Versão
+===============
+
+Esta é a primeira edição do OWASP API Security Top 10, que prevemos atualizar
+periodicamente a cada três ou quatro anos.
+
+Ao contrário desta versão, em futuras versões, queremos fazer uma chamada
+pública para contribuição de dados, envolvendo a industria de segurança neste
+esforço. Na secção [Metodologia e Dados][1] encontrará mais detalhes sobre como
+construímos esta versão. Para mais informação sobre os riscos de segurança, por
+favor consulte a secção [Riscos de Segurança em APIs][2].
+
+É importante tomar consciência que nos últimos anos a arquitetura das aplicações
+sofreu alterações significativas. Atualmente as APIs desempenham um papel muito
+importante, em particular em arquitetura de micro-serviços, _Single Page
+Applications_ (SPAs), aplicações móveis, Internet da Coisas (IoT), etc.
+
+Era imperativo criar o OWASP API Security Top 10 para consciencializar a
+comunidade sobre os atuais problemas de segurança em APIs. Isto foi apenas
+possível graças ao enorme esforço dum conjunto de voluntários, todos eles
+mencionados na secção [Agradecimentos][3]. Obrigado!
+
+## Notas da Tradução
+
+A tradução do OWASP API Security Top 10 2019 foi realizada de forma voluntária
+com o objetivo de tornar este documento acessível a todos, independentemente do
+domínio da língua em que este foi originalmente produzido.
+
+Acreditamos que este é um contributo válido na missão de consciencializar e
+educar todos quantos estão envolvidos no desenvolvimento e manutenção de APIs e
+_software_ em geral para questões relacionadas com segurança.
+
+A tradução deste documento para Português (Portugal) decorreu durante um período
+conturbado em que enfrentamos uma pandemia global, em consequência da qual
+vivemos em isolamento social. Este trabalho é também uma demonstração daquilo
+que podemos construir em conjunto ainda que condicionados de alguma forma.
+
+Esta tradução resulta do esforço de:
+
+* Paulo Alexandre Silva <[email protected]>
+* Rui Silva <[email protected]>
+
+[1]: ./0xd0-about-data.md
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd1-acknowledgments.md

2019/pt-pt/src/0x10-api-security-risks.md

@@ -0,0 +1,49 @@
+Riscos de Segurança em APIs
+===========================
+
+Para a análise de risco usámos a [metodologia de avaliação de risco da
+OWASP][1].
+
+A tabela seguinte resume a terminologia associada à pontuação correspondente ao
+nível de risco.
+
+| Agentes Ameaça | Abuso | Prevalência | Deteção | Impacto Técnico | Impacto Negócio |
+| :-: | :-: | :-: | :-: | :-: | :-: |
+| Específico da API | Fácil **3** | Predominante **3** | Fácil **3** | Grave **3** | Específico do Negócio |
+| Específico da API | Moderado **2** | Comum **2** | Moderado **2** | Moderado **2** | Específico do Negócio |
+| Específico da API | Difícil **1** | Incomum **1** | Difícil **1** | Reduzido **1** | Específico do Negócio |
+
+**Nota**: Esta abordagem não toma em consideração a verosimilhança do Agente de
+Ameaça. Também não toma em consideração nenhum detalhe técnico associado à sua
+API. Qualquer um destes fatores podem ter impacto significativo na probabilidade
+dum atacante encontrar e abusar duma falha de segurança particular. Estes
+indicadores não tomam em consideração o impacto atual no seu negócio. Terá de
+ser a sua organização a decidir qual o nível de risco para a segurança das suas
+aplicações e APIs que está disposta a aceitar, baseado na cultura, indústria e
+regulação a que está sujeita. O propósito do OWASP API Security Top 10 não é
+fazer essa análise por si.
+
+## Referências
+
+### OWASP
+
+* [OWASP Risk Rating Methodology][1]
+* [Artigo sobre Threat/Risk Modeling][2]
+
+### Externas
+
+* [ISO 31000: Risk Management Std][3]
+* [ISO 27001: ISMS][4]
+* [NIST Cyber Framework (US)][5]
+* [ASD Strategic Mitigations (AU)][6]
+* [NIST CVSS 3.0][7]
+* [Microsoft Threat Modeling Tool][8]
+
+[1]: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
+[2]: https://www.owasp.org/index.php/Threat_Risk_Modeling
+[3]: https://www.iso.org/iso-31000-risk-management.html
+[4]: https://www.iso.org/isoiec-27001-information-security.html
+[5]: https://www.nist.gov/cyberframework
+[6]: https://www.asd.gov.au/infosec/mitigationstrategies.htm
+[7]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
+[8]: https://www.microsoft.com/en-us/download/details.aspx?id=49168

2019/pt-pt/src/0x11-t10.md

@@ -0,0 +1,15 @@
+OWASP Top 10 API Security Risks – 2019
+======================================
+
+| Risk | Description |
+| ---- | ----------- |
+| API1:2019 - Broken Object Level Authorization | As APIs tendem a expor mais _endpoints_  que manipulam identificadores de objetos, tornando as falhas no controlo de acessos mais suscetíveis a ataques. A verificação da autorização para acesso aos objetos deve ser tida em consideração em todas as funções que acedem a dados com base em informação fornecida pelo utilizador. |
+| API2:2019 - Broken User Authentication | Com frequência os mecanismos de autenticação são implementados de forma incorreta, permitindo aos atacantes comprometer os _tokens_ de autenticação ou abusar das falhas na implementação por forma a assumir a identidade de outros utilizadores de forma temporária ou permanente. |
+| API3:2019 - Excessive Data Exposure | Na tentativa de fazer implementações genéricas os programadores tendem a expor todas as propriedades dum objeto sem ter em consideração quão sensível é cada uma delas, delegando nos clientes a filtragem daquelas que devem ser apresentadas ao utilizador. |
+| API4:2019 - Lack of Resources & Rate Limiting | Com frequência as APIs não impõem quaisquer restrições no tamanho ou número de recursos que um cliente/utilizador pode solicitar. Não só isto pode ter impacto no desempenho do servidor da API, conduzindo à negação do serviço (DoS), mas também deixa a porta aberta para problemas de autenticação tais como ataques de força bruta. |
+| API5:2019 - Broken Function Level Authorization | Política de controlo de acesso complexas com diferentes níveis hierárquicos, grupos e perfis e uma não tão clara separação entre o que são ou não funcionalidades administrativas tendem a conduzir a falhas de autorização. Abusando destas falhas os atacantes podem ganhar acesso a recursos doutros utilizadores e/ou a funcionalidades administrativas. |
+| API6:2019 - Mass Assignment | Atribuir a informação fornecida pelo cliente (e.g., JSON) aos modelos de dados sem a devida filtragem das propriedades com base em _whitelists_, conduzem tipicamente a problemas de atribuição em massa (_Mass Assignment_). Quer seja através da adivinhação das propriedades do objeto, explorando outros _endpoints_ da API ou consulta da documentação,  fornecendo propriedades adicionais no conteúdo dos pedidos permite aos atacantes modificar propriedades dos objetos que não eram supostos. |
+| API7:2019 - Security Misconfiguration | Tipicamente as más configurações de segurança resultam de configurações por omissão, incompletas ou que se destinam a um fim específico, armazenamento na nuvem aberto, falha na configuração dos cabeçalhos HTTP de segurança, métodos HTTP não utilizados, política permissiva de Partilha de Recursos Entre Origens (CORS) e mensagens de erro contendo informação sensível. |
+| API8:2019 - Injection | Falhas de injeção tais como SQL, NoSQL, injeção de comandos, etc., ocorrem quando dados não confiáveis são enviados a um interpretador como parte dum comando ou consulta. Desta forma o interpretador acaba por executar comandos que não era expectável executar ou aceder a dados sem a devida autorização. |
+| API9:2019 - Improper Assets Management | As APIs tendem a expor mais _endpoints_ do que as aplicações web tradicionais, fazendo com que a documentação se torne ainda mais importante. Um inventário dos _hosts_ e APIs em execução também têm um papel importante na mitigação de falhas tais como versões de APIs descontinuadas e exposição de _endpoints_ para análise de problemas. |
+| API10:2019 - Insufficient Logging & Monitoring | A insuficiência no registo de eventos e monitorização, em conjugação com a falta ou ineficácia da integração com a resposta a incidentes, permite aos atacantes continuar a sua prática, persistir os seus ataques, alcançar outros sistemas, extrair ou destruir dados. A maioria dos estudos demonstra que o tempo de deteção duma quebra de segurança vai além dos 200 dias, sendo tipicamente detetada por entidades externas, ao invés de processo internos ou monitorização. |