Merge branch 'release/2.3.0'

Author: PauloASilva

VERSION

@@ -1 +1 @@
-2.2.1
+2.3.0

docs/assets/stylesheets/extra.css

@@ -8,5 +8,5 @@
 }
 
 .md-grid {
-  max-width: 75%;
+  max-width: 67rem;
 }

editions/2019/de/0x00-header.md

@@ -0,0 +1,21 @@
+---
+title: ''
+---
+
+![OWASP LOGO](./images/owasp-logo.png)
+
+# OWASP API Security Top 10 2019
+
+Die 10 kritischsten Sicherheitsrisiken für APIs
+
+27 Januar 2023
+
+![WASP Logo URL TBA](./images/front-wasp.png)
+
+| | | |
+| - | - | - |
+| https://owasp.org | This work is licensed under a [Creative Commons Attribution-ShareAlike 4.0 International License][1] | ![Creative Commons License Logo](images/front-cc.png) |
+
+[1]: http://creativecommons.org/licenses/by-sa/4.0/
+
+

editions/2019/de/0x00-notice.md

@@ -0,0 +1,13 @@
+# Notiz
+
+Dies ist die Textversion der OWASP API Security Top 10, die dient als Quelle für die
+offizielle Version, die als Portable Document Format (PDF) veröffentlicht wird.
+
+Beiträge zum Projekt wie Kommentare, Korrekturen oder Übersetzungen
+sollten hier gemacht werden. Einzelheiten dazu [wie sie beitragen können][1] finden Sie unter
+[CONTRIBUTING.md][1].
+
+* Erez Yallon
+* Inon Shkedy
+
+[1]: ../../../CONTRIBUTING.md

editions/2019/de/0x00-toc.md

@@ -0,0 +1,23 @@
+# Inhaltsverzeichnis
+
+* [Inhaltsverzeichnis](0x00-toc.md)
+* [Über das OWASP](0x01-about-owasp.md)
+* [Vorwort](0x02-foreword.md)
+* [Einleitung](0x03-introduction.md)
+* [Erläuterungen zur Veröffentlichung](0x04-release-notes.md)
+* [Sicherheitsrisiken für APIs](0x10-api-security-risks.md)
+* [OWASP Top 10 API Security Risks – 2019](0x11-t10.md)
+* [API1:2019 Broken Object Level Authorization](0xa1-broken-object-level-authorization.md)
+* [API2:2019 Broken User Authentication](0xa2-broken-user-authentication.md)
+* [API3:2019 Excessive Data Exposure](0xa3-excessive-data-exposure.md)
+* [API4:2019 Lack of Resources & Rate Limiting](0xa4-lack-of-resources-and-rate-limiting.md)
+* [API5:2019 Broken Function Level Authorization](0xa5-broken-function-level-authorization.md)
+* [API6:2019 Mass Assignment](0xa6-mass-assignment.md)
+* [API7:2019 Security Misconfiguration](0xa7-security-misconfiguration.md)
+* [API8:2019 Injection](0xa8-injection.md)
+* [API9:2019 Improper Assets Management](0xa9-improper-assets-management.md)
+* [API10:2019 Insufficient Logging & Monitoring](0xaa-insufficient-logging-monitoring.md)
+* [Was kommt als nächstes auf die Entwickler zu?](0xb0-next-devs.md)
+* [Was kommt als nächstes auf die DevSecOps zu?](0xb1-next-devsecops.md)
+* [Methodik und Daten](0xd0-about-data.md)
+* [Danksagungen](0xd1-acknowledgments.md)

editions/2019/de/0x01-about-owasp.md

@@ -0,0 +1,46 @@
+# Über das OWASP
+
+Das Open Web Application Security Project (OWASP) ist eine offene Gemeinschaft, deren Ziel es ist Organisationen zu ermöglichen, Anwendungen und APIs zu entwickeln, zu erwerben und zu pflegen, denen man vertrauen kann.
+
+Bei OWASP finden Sie freie und offene:
+
+* Tools und Standards für die Anwendungssicherheit.
+* Vollständige Bücher über Anwendungssicherheitstests, sichere Codeentwicklung und Sicherheitsüberprüfungen von Code.
+* Präsentationen und [Videos][1].
+* [Cheat sheets][2] zu vielen gängigen Themen.
+* Standard-Sicherheitskontrollen und Bibliotheken.
+* [Örtliche Chapter weltweit][3].
+* Modernste Forschung.
+* Umfangreiche [Konferenzen weltweit][4].
+* [Mailinglisten][5].
+
+Lerne mehr darüber auf: [https://www.owasp.org][6].
+
+Alle OWASP-Tools, -Dokumente, -Videos, -Präsentationen und -Kapitel sind kostenlos und für jeden zugänglich, der an der Verbesserung von Anwendungssicherheit interessiert ist.
+
+
+Wir plädieren dafür, die Anwendungssicherheit als ein Mensch-, Prozess- und
+Technologieproblem zu betrachten, da die effektivsten Ansätze zur Anwendungssicherheit Verbesserungen in diesen Bereichen liegen.
+
+Die OWASP ist eine neue Art von Organisation. Unsere Freiheit von kommerziellen Zwängen ermöglicht es uns, unvoreingenommene, praktische und kostengünstige Informationen über Anwendungssicherheit zuliefern.
+
+OWASP ist nicht mit einem Technologieunternehmen verbunden, obwohl wir den
+Einsatz kommerzieller Sicherheitstechnologien unterstützen. Die OWASP erstellt viele Arten von Materialien in einer gemeinschaftlichen, transparenten und offenen Weise.
+
+Die OWASP Foundation ist die gemeinnützige Einrichtung, die den langfristigen Erfolg des Projekts sicherstellt. Fast jeder, der mit OWASP zu tun hat, ist ein Freiwilliger, einschließlich des OWASP-Vorstands, der Chapter-Leiter, der Projektleiter und der Projektmitglieder. Wir unterstützen innovative Sicherheitsforschung mit Zuschüssen und Infrastruktur.
+
+Tritt uns bei!
+
+## Copyright und Lizenz
+
+![license](images/license.png)
+
+Copyright © 2003-2019 Die OWASP-Stiftung. Dieses Dokument ist veröffentlicht unter der [Creative Commons Attribution Share-Alike 4.0 Lizenz][7]. Bei jeder Wiederverwendung oder Weitergabe müssen Sie anderen die Lizenzbedingungen dieser Arbeit deutlich machen.
+
+[1]: https://www.youtube.com/user/OWASPGLOBAL
+[2]: https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series
+[3]: https://www.owasp.org/index.php/OWASP_Chapter
+[4]: https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference
+[5]: https://lists.owasp.org/mailman/listinfo
+[6]: https://www.owasp.org
+[7]: http://creativecommons.org/licenses/by-sa/4.0/

editions/2019/de/0x02-foreword.md

@@ -0,0 +1,41 @@
+# Vorwort
+
+Ein fundamentales Element der Innovation in der heutigen App-getriebenen Welt ist die
+Anwendungsprogrammierschnittstelle (API). Von Bankenwesen, dem Einzelhandel 
+bis hin zu IoT-Systemen, autonomen Fahrzeugen und intelligenten Städten - APIs sind ein wichtiger Bestandteil der
+modernen mobilen und Webanwendungen. APIs sind in alle modernen externen und internen Anwendungen zu finden.
+
+APIs stellen von Natur aus Anwendungslogik und sensible Daten wie personenbezogene
+Daten externen Dritten zur Verfügung. Deshalb sind APIs zunehmend zu
+einem Ziel für Angreifer geworden. Ohne sichere APIs wäre eine schnelle Innovation
+unmöglich.
+
+Obwohl eine umfassendere Top-10-Liste der Sicherheitsrisiken von Webanwendungen in Teilen anwendbar ist, ist aufgrund 
+ihrer eigenen Besonderheiten eine API-spezifische Liste der Sicherheitsrisiken sinnvoll.
+Die OWASP Top 10 API Security Risks konzentriert sich auf die Vermittlung von Strategien zur Behebung der gängigsten
+Schwachstellen und Sicherheitsrisiken im Zusammenhang mit APIs.
+
+Wenn Sie mit dem [OWASP Top 10 Project][1] vertraut sind, dann werden Sie die
+Ähnlichkeiten zwischen diesen beiden Dokumenten feststellen. Diese Ähnlichkeiten ermöglichen eine schnelle Einarbeitung 
+in diese Thematik. Wenn Sie die OWASP Top 10-Reihe noch nicht kennen, sollten Sie zuerst 
+die Kapitel [Sicherheitsrisiken für APIs][2] und [Methodik und Daten][3] lesen
+bevor Sie sich mit dieser Top-10-Liste befassen.
+
+Sie können zu den OWASP API Security Top 10 mit Ihren Fragen, Kommentaren 
+und Ideen in unserem GitHub-Projekt-Repository beitragen:
+
+* https://github.com/OWASP/API-Security/issues
+* https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
+
+Sie können die OWASP API Security Top 10 hier finden:
+
+* https://www.owasp.org/index.php/OWASP_API_Security_Project
+* https://github.com/OWASP/API-Security
+
+Wir danken allen Beteiligten, die dieses Projekt mit ihrem Engagement und ihren Beiträgen möglich gemacht haben.
+Sie sind alle im Abschnitt [Danksagungen][4] aufgeführt. Vielen Dank!
+
+[1]: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd0-about-data.md
+[4]: ./0xd1-acknowledgments.md

editions/2019/de/0x03-introduction.md

@@ -0,0 +1,18 @@
+# Einleitung
+
+## Willkommen bei der OWASP API Security Top 10 - 2019!
+
+Willkommen zur ersten Ausgabe der OWASP API Security Top 10. Wenn Sie mit der OWASP Top 10-Serie vertraut sind, werden Sie die Ähnlichkeiten bemerken: Sie sind auf Lesbarkeit und Akzeptanz ausgelegt. Andernfalls sollten Sie einen Blick auf die [OWASP API Security Project wiki page][1] werfen, bevor Sie sich näher mit den wichtigsten API-Sicherheitsrisiken auseinandersetzen.
+
+APIs spielen eine sehr wichtige Rolle in der Architektur moderner Anwendungen. Da Sicherheitsbewusstsein und Innovation unterschiedliche Geschwindigkeiten haben, ist es wichtig, sich auf allgemeine API-Schwächen zu konzentrieren.
+
+Das primäre Ziel der OWASP API Security Top 10 ist es, 
+die an der Entwicklung und Wartung von APIs beteiligt sind, zum Beispiel Entwickler, Designer Architekten, Manager oder Organisationen zu bilden.
+
+Im Abschnitt [Methodik und Daten][2] können Sie mehr darüber lesen, wie diese erste Ausgabe erstellt wurde. In künftigen Versionen wollen wir die Sicherheitsbranche einbeziehen, mit einem öffentlichen Aufruf zur Datenerhebung. Für den Moment ermutigen wir jeden dazu sich mit Fragen, Kommentaren und Ideen an unser [GitHub-Repository][3] oder unsere
+[Mailingliste][4] zuwenden.
+
+[1]: https://www.owasp.org/index.php/OWASP_API_Security_Project
+[2]: ./0xd0-about-data.md
+[3]: https://github.com/OWASP/API-Security
+[4]: https://groups.google.com/a/owasp.org/forum/#!forum/api-security-project

editions/2019/de/0x04-release-notes.md

@@ -0,0 +1,23 @@
+# Erläuterungen zur Veröffentlichung
+
+Dies ist die erste Ausgabe der OWASP API Security Top 10, die regelmäßig, alle drei 
+oder vier Jahre, aktualisiert werden soll.
+
+Im Gegensatz zu dieser Version wollen wir in zukünftigen Versionen einen öffentlichen Aufruf zur Datenerhebung veröffentlichen,
+und die Sicherheitsbranche in unsere Initiative miteinbeziehen. In dem Kapitel [Methodik und Daten][1]
+finden Sie weitere Einzelheiten darüber, wie diese Version erstellt wurde. Detaillierte 
+Informationen zu den Sicherheitsrisiken finden Sie im Kapitel [Sicherheitsrisiken für APIs][2].
+
+Es ist wichtig zu verstehen, dass sich in den letzten Jahren die Architektur von 
+Anwendungen grundsätzlich verändert hat. Derzeit spielen APIs eine sehr wichtige Rolle 
+in dieser neuen Infrastruktur aus Microservices, Single Page Applications (SPAs),
+mobilen Anwendungen und IoT-Systemen.
+
+Die OWASP API Security Top 10 war eine notwendige Maßnahme, um das Bewusstsein für
+moderne API-Sicherheitsprobleme zu schaffen. Sie war nur möglich durch den großen Einsatz von
+zahlreichen ehrenamtlichen Helfern, welche alle im Abschnitt [Danksagungen][3] aufgeführt sind.
+Vielen Dank!
+
+[1]: ./0xd0-about-data.md
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd1-acknowledgments.md

editions/2019/de/0x10-api-security-risks.md

@@ -0,0 +1,41 @@
+# Sicherheitsrisiken für APIs
+
+Zur Durchführung der Risikoanalyse wurde die [OWASP Risk Rating Methodology][1] verwendet.
+
+Die nachstehende Tabelle fasst die mit der Risikobewertung verbundene Terminologie zusammen.
+
+| Bedrohungsakteure | Ausnutzbarkeit | Schwachstellenprävalenz | Schwachstellendetektierbarkeit | Technische Auswirkungen | Geschäftsauswirkungen |
+| :-: | :-: | :-: | :-: | :-: | :-: |
+| API-spezifisch | Leicht: **3** | Weit verbreitet **3** | Leicht **3** | Schwer **3** | Unternehmensspezifisch |
+| API-spezifisch | Durchschnittlich **2** | Häufig **2** | Durchschnittlich **2** | Mäßig **2** | Unternehmensspezifisch |
+| API-spezifisch | Schwer **1** | Schwer **1** | Schwer **1** | Leicht **1** | Unternehmensspezifisch |
+
+**Anmerkung**: Bei diesem Ansatz wird die Wahrscheinlichkeit des Bedrohungserregers nicht berücksichtigt. Er berücksichtigt auch keine der verschiedenen technischen Details, die mit Ihrer speziellen Anwendung verbunden sind. Jeder dieser Faktoren kann die Gesamtwahrscheinlichkeit, dass ein Angreifer eine bestimmte Schwachstelle findet und ausnutzt beeinflussen. Diese Bewertung berücksichtigt nicht die tatsächlichen Auswirkungen auf Ihr
+Unternehmen. Ihr Unternehmen muss entscheiden, wie viele Sicherheitsrisiken durch
+Anwendungen und APIs das Unternehmen bereit ist, angesichts der Unternehmenskultur, Branche und regulatorischem Umfelds zu akzeptieren. Der Zweck der OWASP API Security Top
+10 ist es nicht, diese Risikoanalyse für Sie durchzuführen.
+
+## Referenzen
+
+### OWASP
+
+* [OWASP Risk Rating Methodology][1]
+* [Article on Threat/Risk Modeling][2]
+
+### External
+
+* [ISO 31000: Risk Management Std][3]
+* [ISO 27001: ISMS][4]
+* [NIST Cyber Framework (US)][5]
+* [ASD Strategic Mitigations (AU)][6]
+* [NIST CVSS 3.0][7]
+* [Microsoft Threat Modeling Tool][8]
+
+[1]: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
+[2]: https://www.owasp.org/index.php/Threat_Risk_Modeling
+[3]: https://www.iso.org/iso-31000-risk-management.html
+[4]: https://www.iso.org/isoiec-27001-information-security.html
+[5]: https://www.nist.gov/cyberframework
+[6]: https://www.asd.gov.au/infosec/mitigationstrategies.htm
+[7]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
+[8]: https://www.microsoft.com/en-us/download/details.aspx?id=49168