fix(2019): headings

PauloASilva · PauloASilva · commit b405bb939251 · 2023-06-12T11:53:07.000+01:00
diff --git a/editions/2019/de/0x00-header.md b/editions/2019/de/0x00-header.md
@@ -1,12 +1,16 @@
-![OWASP LOGO](images/owasp-logo.png)
+---
+title: ''
+---
 
-## OWASP API Security Top 10 2019
+![OWASP LOGO](./images/owasp-logo.png)
+
+# OWASP API Security Top 10 2019
 
 Die 10 kritischsten Sicherheitsrisiken für APIs
 
 27 Januar 2023
 
-![WASP Logo URL TBA](images/front-wasp.png)
+![WASP Logo URL TBA](./images/front-wasp.png)
 
 | | | |
 | - | - | - |
diff --git a/editions/2019/de/0x00-notice.md b/editions/2019/de/0x00-notice.md
@@ -1,5 +1,4 @@
-Notiz
-======
+# Notiz
 
 Dies ist die Textversion der OWASP API Security Top 10, die dient als Quelle für die
 offizielle Version, die als Portable Document Format (PDF) veröffentlicht wird.
diff --git a/editions/2019/de/0x00-toc.md b/editions/2019/de/0x00-toc.md
@@ -1,5 +1,4 @@
-Inhaltsverzeichnis
-=================
+# Inhaltsverzeichnis
 
 * [Inhaltsverzeichnis](0x00-toc.md)
 * [Über das OWASP](0x01-about-owasp.md)
diff --git a/editions/2019/de/0x01-about-owasp.md b/editions/2019/de/0x01-about-owasp.md
@@ -1,5 +1,4 @@
-Über das OWASP
-===========
+# Über das OWASP
 
 Das Open Web Application Security Project (OWASP) ist eine offene Gemeinschaft, deren Ziel es ist Organisationen zu ermöglichen, Anwendungen und APIs zu entwickeln, zu erwerben und zu pflegen, denen man vertrauen kann.
 
@@ -44,4 +43,4 @@ Copyright © 2003-2019 Die OWASP-Stiftung. Dieses Dokument ist veröffentlicht u
 [4]: https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference
 [5]: https://lists.owasp.org/mailman/listinfo
 [6]: https://www.owasp.org
-[7]: http://creativecommons.org/licenses/by-sa/4.0/
+[7]: http://creativecommons.org/licenses/by-sa/4.0/
diff --git a/editions/2019/de/0x02-foreword.md b/editions/2019/de/0x02-foreword.md
@@ -1,5 +1,4 @@
-Vorwort
-========
+# Vorwort
 
 Ein fundamentales Element der Innovation in der heutigen App-getriebenen Welt ist die
 Anwendungsprogrammierschnittstelle (API). Von Bankenwesen, dem Einzelhandel 
diff --git a/editions/2019/de/0x03-introduction.md b/editions/2019/de/0x03-introduction.md
@@ -1,5 +1,4 @@
-Einleitung
-============
+# Einleitung
 
 ## Willkommen bei der OWASP API Security Top 10 - 2019!
 
@@ -16,4 +15,4 @@ Im Abschnitt [Methodik und Daten][2] können Sie mehr darüber lesen, wie diese
 [1]: https://www.owasp.org/index.php/OWASP_API_Security_Project
 [2]: ./0xd0-about-data.md
 [3]: https://github.com/OWASP/API-Security
-[4]: https://groups.google.com/a/owasp.org/forum/#!forum/api-security-project
+[4]: https://groups.google.com/a/owasp.org/forum/#!forum/api-security-project
diff --git a/editions/2019/de/0x04-release-notes.md b/editions/2019/de/0x04-release-notes.md
@@ -1,5 +1,4 @@
-Erläuterungen zur Veröffentlichung
-=============
+# Erläuterungen zur Veröffentlichung
 
 Dies ist die erste Ausgabe der OWASP API Security Top 10, die regelmäßig, alle drei 
 oder vier Jahre, aktualisiert werden soll.
diff --git a/editions/2019/de/0x10-api-security-risks.md b/editions/2019/de/0x10-api-security-risks.md
@@ -1,5 +1,4 @@
-Sicherheitsrisiken für APIs
-==================
+# Sicherheitsrisiken für APIs
 
 Zur Durchführung der Risikoanalyse wurde die [OWASP Risk Rating Methodology][1] verwendet.
 
diff --git a/editions/2019/de/0x11-t10.md b/editions/2019/de/0x11-t10.md
@@ -1,5 +1,4 @@
-OWASP Top 10 API Security Risks – 2019
-======================================
+# OWASP Top 10 API Security Risks – 2019
 
 | Risko | Beschreibung |
 | ----- | ------------ |
@@ -12,4 +11,4 @@ OWASP Top 10 API Security Risks – 2019
 | API7:2019 - Security Misconfiguration | Sicherheitsfehlkonfigurationen sind häufig das Ergebnis unsicherer Standardkonfigurationen, unvollständiger oder Ad-hoc-Konfigurationen, offener Cloud-Speicher, falsch konfigurierter HTTP-Header, unnötiger HTTP-Methoden, permissiver Cross-Origin-Resource-Sharing (CORS) und ausführlicher Fehlermeldungen mit sensiblen Informationen. |
 | API8:2019 - Injection | Injection-Fehler, wie SQL, NoSQL, Command Injection usw., treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Befehls oder einer Abfrage an einen Interpreter gesendet werden. Die bösartigen Daten des Angreifers können den Interpreter dazu verleiten, unbeabsichtigte Befehle auszuführen oder auf Daten zuzugreifen, ohne dazu berechtigt zu sein. |
 | API9:2019 - Improper Assets Management | APIs neigen dazu, mehr Endpunkte freizugeben als herkömmliche Webanwendungen, was eine ordnungsgemäße und aktualisierte Dokumentation sehr wichtig macht. Eine ordnungsgemäße Inventarisierung der Hosts und der bereitgestellten API-Versionen spielt ebenfalls eine wichtige Rolle, um Probleme wie veraltete API-Versionen und offengelegte Debug-Endpunkten zu entschärfen. |
-| API10:2019 - Insufficient Logging & Monitoring | Unzureichende Protokollierung und Überwachung in Verbindung mit einer fehlenden oder unwirksamen Integration in die Reaktion auf Vorfälle (Incidents Response) ermöglichen es Angreifern, weitere Systeme anzugreifen, die Persistenz aufrechtzuerhalten und auf weitere Systeme überzugehen, um Daten zu manipulieren, zu extrahieren oder zu zerstören. Die meisten Studien zu Breaches (Cyber Einbruch) zeigen, dass die Zeit bis zur Entdeckung eines Breaches mehr als 200 Tage beträgt und in der Regel eher von externen Parteien als von internen Prozessen oder der internen Überwachung entdeckt werden. |
+| API10:2019 - Insufficient Logging & Monitoring | Unzureichende Protokollierung und Überwachung in Verbindung mit einer fehlenden oder unwirksamen Integration in die Reaktion auf Vorfälle (Incidents Response) ermöglichen es Angreifern, weitere Systeme anzugreifen, die Persistenz aufrechtzuerhalten und auf weitere Systeme überzugehen, um Daten zu manipulieren, zu extrahieren oder zu zerstören. Die meisten Studien zu Breaches (Cyber Einbruch) zeigen, dass die Zeit bis zur Entdeckung eines Breaches mehr als 200 Tage beträgt und in der Regel eher von externen Parteien als von internen Prozessen oder der internen Überwachung entdeckt werden. |
diff --git a/editions/2019/de/0xa1-broken-object-level-authorization.md b/editions/2019/de/0xa1-broken-object-level-authorization.md
@@ -1,5 +1,4 @@
-API1:2019 Broken Object Level Authorization
-===========================================
+# API1:2019 Broken Object Level Authorization
 
 | Bedrohungsakteure/Angriffsvektoren | Sicherheitslücken | Auswirkungen |
 | - | - | - |
@@ -16,11 +15,11 @@ Versagen dieses Mechanismus führt in der Regel zur unberechtigten Offenlegung,
 
 ## Beispiele für Angriffe
 
-## Szenario #1
+### Szenario #1
 
 Ein E-Commerce-Plattform für Online-Shops bietet eine Auflistungsseite mit Umsatzdiagrammen für die von ihr gehosteten Shops. Durch Untersuchung der Browseranfragen kann ein Angreifer die API-Endpunkte identifizieren, die als Datenquelle für diese Diagramme dienen und deren Muster `/shops/{shopName}/revenue_data.json` ist. Über einen anderen API-Endpunkt kann der Angreifer eine Liste aller gehosteten Shopnamen abrufen. Mithilfe eines einfachen Skripts, das die Namen in der Liste manipuliert und `{shopName}` in der URL ersetzt, erhält der Angreifer Zugang zu den Verkaufsdaten von Tausenden von E-Commerce-Shops.
 
-## Szenario #2
+### Szenario #2
 
 Beim Überwachen des Netzwerkverkehrs eines Wearable fällt einem Angreifer eine HTTP PATCH-Anfrage auf, die einen benutzerdefinierten HTTP-Anfrageheader mit dem Namen X-User-Id: 54796 enthält. Durch Ersetzen des X-User-Id-Werts durch 54795 erhält der Angreifer eine erfolgreiche HTTP-Antwort und kann die Kontodaten anderer Benutzer ändern.
 
diff --git a/editions/2019/de/0xa2-broken-user-authentication.md b/editions/2019/de/0xa2-broken-user-authentication.md
@@ -1,5 +1,4 @@
-API2:2019 Broken User Authentication
-====================================
+# API2:2019 Broken User Authentication
 
 | Bedrohungsakteure/Angriffsvektoren | Sicherheitslücken | Auswirkungen |
 | - | - | - |
@@ -25,14 +24,14 @@ Eine API ist verwundbar, wenn sie folgendes zulässt:
 
 ## Beispiele für Angriffe
 
-## Szenario #1
+### Szenario #1
 
 [Credential stuffing][1] (durch Verwendung von [Listen mit bekannten Benutzernamen/Passwörtern][2])
 ist ein häufiger Angriff. Wenn eine Anwendung keine automatischen Schutzmaßnahmen gegen Bedrohungen
 oder Credential Stuffing implementiert, kann die Anwendung als Passwort-Oracle (Tester) verwendet werden,
 um zu bestimmen, ob die Anmeldeinformationen gültig sind.
 
-## Szenario #2
+### Szenario #2
 
 Ein Angreifer startet den Passwort-Wiederherstellungs-Prozess, indem er eine POST-Anfrage an
 `/api/system/verification-codes` sendet und den Benutzernamen im Anfrage-Body bereitstellt.
diff --git a/editions/2019/de/0xa3-excessive-data-exposure.md b/editions/2019/de/0xa3-excessive-data-exposure.md
@@ -1,5 +1,4 @@
-API3:2019 Excessive Data Exposure
-=================================
+# API3:2019 Excessive Data Exposure
 
 | Bedrohungsakteure/Angriffsvektoren | Sicherheitslücken | Auswirkungen |
 | - | - | - |
@@ -12,12 +11,12 @@ Die API gibt sensible Daten absichtlich an den Client zurück. Diese Daten werde
 
 ## Beispiele für Angriffe
 
-## Szenario #1
+### Szenario #1
 
 Das Mobile-Team verwendet den Endpunkt `/api/articles/{articleId}/comments/{commentId}`
 in der Artikelansicht, um Metadaten zu Kommentaren zu rendern. Durch das Sniffing des Datenverkehrs der mobilen Anwendung findet ein Angreifer heraus, dass auch andere sensible Daten, die sich auf den Autor des Kommentars beziehen, zurückgegeben werden. Die Implementierung des Endpunkts verwendet eine generische `toJSON()`-Methode des User-Modells, das PII enthält, um das Objekt zu serialisieren.
 
-## Szenario #2
+### Szenario #2
 
 Ein IoT-basiertes Überwachungssystem ermöglicht es Administratoren, Benutzer mit unterschiedlichen Berechtigungen zu erstellen. Ein Administrator erstellt ein Benutzerkonto für einen neuen Sicherheitsmitarbeiter, der nur Zugang zu bestimmten Gebäuden auf dem Gelände haben sollte. Sobald der Sicherheitsmitarbeiter seine mobile App verwendet, wird ein API-Aufruf ausgelöst: /api/sites/111/cameras, um Daten über die verfügbaren Kameras zu erhalten und sie auf dem Dashboard anzuzeigen. Die Antwort enthält eine Liste mit Details über Kameras im folgenden Format: `{"id": "xxx", "live_access_token": "xxxx-bbbbb", "building_id": "yyy"}`. Während die Client-GUI nur Kameras anzeigt, auf die der Sicherheitsmitarbeiter Zugriff haben soll, enthält die tatsächliche API-Antwort eine vollständige Liste aller Kameras auf dem Gelände.
 
diff --git a/editions/2019/de/0xa4-lack-of-resources-and-rate-limiting.md b/editions/2019/de/0xa4-lack-of-resources-and-rate-limiting.md
@@ -1,5 +1,4 @@
-API4:2019 Lack of Resources & Rate Limiting
-===========================================
+# API4:2019 Lack of Resources & Rate Limiting
 
 | Bedrohungsakteure/Angriffsvektoren | Sicherheitslücken | Auswirkungen |
 | - | - | - |
@@ -24,14 +23,14 @@ der folgenden Grenzwerte fehlt oder unangemessen eingestellt ist (z. B. zu niedr
 
 ## Beispiele für Angriffe
 
-## Szenario #1
+### Szenario #1
 
 Ein Angreifer lädt ein großes Bild hoch, indem er eine POST-Anfrage an `/api/v1/images` stellt.
 Wenn der Upload abgeschlossen ist, erstellt die API mehrere Miniaturbilder mit unterschiedlichen
 Größen. Aufgrund der Größe des hochgeladenen Bildes ist der verfügbare Speicher
 während der Erstellung der Miniaturansichten erschöpft und die API reagiert nicht mehr.
 
-## Szenario #2
+### Szenario #2
 
 Gegeben ist eine Anwendung, die die Benutzerliste auf einer Benutzeroberfläche mit einer Begrenzung von
 200 Benutzer pro Seite anzeigt. Die Benutzerliste wird mit folgender Abfrage vom Server abgerufen: `/api/users?page=1&size=200`. Ein Angreifer ändert den Parameter `size`
diff --git a/editions/2019/de/0xa5-broken-function-level-authorization.md b/editions/2019/de/0xa5-broken-function-level-authorization.md
@@ -1,5 +1,4 @@
-API5:2019 Broken Function Level Authorization
-=============================================
+# API5:2019 Broken Function Level Authorization
 
 | Bedrohungsakteure/Angriffsvektoren | Sicherheitslücken | Auswirkungen |
 | - | - | - |
@@ -20,7 +19,7 @@ Obwohl Entwickler dazu neigen, die meisten administrativen Endpunkte unter einem
 
 ## Beispiele für Angriffe
 
-## Szenario #1
+### Szenario #1
 
 Während des Registrierungsprozesses für eine Anwendung, die nur eingeladenen Nutzern die Teilnahme erlaubt beitreten können, löst die mobile Anwendung einen API-Aufruf aus an `GET /api/invites/{invite_guid}`.
 Die Antwort enthält ein JSON mit Details über die Einladung, einschließlich der Rolle des Benutzers und seiner E-Mail.
@@ -37,7 +36,7 @@ POST /api/invites/new
 {“email”:”hugo@malicious.com”,”role”:”admin”}
 ```
 
-## Szenario #2
+### Szenario #2
 
 Eine API enthält einen Endpunkt, der nur für Administratoren zugänglich sein sollte - `GET /api/admin/v1/users/all`. Dieser Endpunkt liefert die Details aller Benutzer der Anwendung zurück und führt keine Berechtigungsprüfungen auf Funktionsebene durch. Ein Angreifer, der die Struktur der API kennt, errät den Zugriff auf diesen Endpunkt und erlangt dadurch Zugang zu sensiblen Details der Anwendungsnutzer.
 
diff --git a/editions/2019/de/0xa6-mass-assignment.md b/editions/2019/de/0xa6-mass-assignment.md
@@ -1,5 +1,4 @@
-API6:2019 - Mass Assignment
-===========================
+# API6:2019 - Mass Assignment
 
 | Bedrohungsakteure/Angriffsvektoren | Sicherheitslücken | Auswirkungen |
 | - | - | - |
@@ -20,7 +19,7 @@ Beispiele für sensible Eigenschaften:
 
 ## Beispiele für Angriffe
 
-## Szenario #1
+### Szenario #1
 
 Eine Anwendung für Mitfahrgelegenheiten bietet einem Nutzer die Möglichkeit, grundlegende Informationen für sein Profil zu bearbeiten. Während dieses Prozesses wird ein API-Aufruf gesendet an
 `PUT /api/v1/users/me` mit dem folgenden legitimen JSON-Objekt:
@@ -43,7 +42,7 @@ Der Angreifer wiederholt die erste Anfrage mit der folgendem Payload:
 
 Da der Endpunkt anfällig für "MAss Assignment" ist, erhält der Angreifer Credits, ohne zu bezahlen.
 
-## Szenario #2
+### Szenario #2
 
 Ein Portal zur gemeinsamen Nutzung von Videos ermöglicht es Nutzern, Inhalte hochzuladen und in verschiedenen Formaten herunterzuladen. Ein Angreifer, der die API erforscht, fand heraus, dass der Endpunkt `GET /api/v1/videos/{video_id}/meta_data` ein JSON-Objekt mit den Eigenschaften des Videos zurückgibt. Eine der Eigenschaften ist `"mp4_conversion_params":"-v codec h264"`, was darauf hinweist, dass die Anwendung einen Shell-Befehl zur Konvertierung des Videos verwendet.
 
diff --git a/editions/2019/de/0xa7-security-misconfiguration.md b/editions/2019/de/0xa7-security-misconfiguration.md
@@ -1,5 +1,4 @@
-API7:2019 Security Misconfiguration
-===================================
+# API7:2019 Security Misconfiguration
 
 | Bedrohungsakteure/Angriffsvektoren | Sicherheitslücken | Auswirkungen |
 | - | - | - |
@@ -20,7 +19,7 @@ Die API könnte anfällig sein, wenn:
 
 ## Beispiele für Angriffe
 
-## Szenario #1
+### Szenario #1
 
 Ein Angreifer findet die Datei `.bash_history` unter dem Stammverzeichnis des Servers, die Befehle enthält, die vom DevOps-Team für den Zugriff auf die API verwendet werden:
 
@@ -30,11 +29,11 @@ $ curl -X GET 'https://api.server/endpoint/' -H 'authorization: Basic Zm9vOmJhcg
 Ein Angreifer könnte auch neue Endpunkte für die API identifizieren, die nur vom
 DevOps-Team verwendet werden und nicht dokumentiert sind.
 
-## Szenario #2
+### Szenario #2
 
 Um einen bestimmten Dienst ins Visier zu nehmen, verwendet ein Angreifer eine beliebte Suchmaschine, um nach Computern zu suchen. Der Angreifer fand einen Host, auf dem ein beliebtes Datenbankmanagementsystem auf dem Standardport läuft. Der Host verwendete die Standardkonfiguration, bei der die Authentifizierung standardmäßig deaktiviert ist. Der Angreifer erlangte Zugriff auf Millionen von Datensätzen mit personenbezogenen Daten, persönlichen Präferenzen und Authentifizierungsdaten.
 
-## Szenario #3
+### Szenario #3
 
 Bei der Untersuchung des Datenverkehrs einer mobilen Anwendung stellt ein Angreifer fest, dass nicht der gesamte HTTP-Verkehr über ein sicheres Protokoll (z. B. TLS) abgewickelt wird. Der Angreifer findet dies insbesondere für den Download von Profilbildern herraus. Da die Daten binär kodiert sind, findet der Angreifer, ein Muster in der Größe der API-Antworten, das er nutzt, um die Präferenzen der Benutzer bezüglich des dargestellten Inhalts (z. B. Profilbilder) auszulesen.
 
diff --git a/editions/2019/de/0xa8-injection.md b/editions/2019/de/0xa8-injection.md
@@ -1,5 +1,4 @@
-API8:2019 Injection
-===================
+# API8:2019 Injection
 
 | Bedrohungsakteure/Angriffsvektoren | Sicherheitslücken | Auswirkungen |
 | - | - | - |
@@ -16,7 +15,7 @@ Die API ist anfällig für Injection-Angriffe, wenn:
 
 ## Beispiele für Angriffe
 
-## Szenario #1
+### Szenario #1
 
 Die Firmware einer Kindersicherungseinrichtung stellt den Endpunkt
 `/api/CONFIG/restore` zur Verfügung, der die Übermittlung einer appId als Multipart
@@ -36,7 +35,7 @@ verwundbaren Firmware ausschalten:
 $ curl -k "https://${deviceIP}:4567/api/CONFIG/restore" -F 'appid=$(/etc/pod/power_down.sh)'
 ```
 
-## Szenario #2
+### Szenario #2
 
 Wir haben eine Anwendung mit grundlegenden CRUD-Funktionen für Operationen mit
 Buchungen. Ein Angreifer konnte herausfinden, dass eine NoSQL-Injection möglich ist, welche
diff --git a/editions/2019/de/0xa9-improper-assets-management.md b/editions/2019/de/0xa9-improper-assets-management.md
@@ -1,5 +1,4 @@
-API9:2019 Improper Assets Management
-====================================
+# API9:2019 Improper Assets Management
 
 | Bedrohungsakteure/Angriffsvektoren | Sicherheitslücken | Auswirkungen |
 | - | - | - |
@@ -24,11 +23,11 @@ Die API könnte verwundbar sein, wenn:
 
 ## Beispiele für Angriffe
 
-## Szenario #1
+### Szenario #1
 
 Nach der Neugestaltung ihrer Anwendungen ließ ein lokaler Suchdienst eine alte API-Version (`api.someservice.com/v1`) weiterlaufen, ohne Schutz und mit Zugriff auf die Benutzerdatenbank. Während eines Angriffs auf eine der neuesten veröffentlichten Anwendungen fand ein Angreifer die API-Adresse (`api.someservice.com/v2`). Durch das Ersetzen von `v2` in der URL durch `v1` erhielt der Angreifer Zugriff auf die alte, ungeschützte API und konnte personenbezogene Daten (PII) von über 100 Millionen Nutzern offenlegen.
 
-## Szenario #2
+### Szenario #2
 
 Ein soziales Netzwerk hat einen Mechanismus zum Rate-Limiting eingeführt, der Angreifer daran hindert, mittels Brute-Force-Attacken zurückgesetzte Passwort-Token zu erraten. Dieser Mechanismus wurde nicht als Teil des API-Codes selbst implementiert, sondern in einer separaten Komponente zwischen dem Client und der offiziellen API (`www.socialnetwork.com`).
 Ein Forscher fand einen Beta-API-Host (`www.mbasic.beta.socialnetwork.com`), der dieselbe API ausführte, einschließlich des Mechanismus zum Zurücksetzen des Passworts, aber der Mechanismus zum Rate-Limiting war nicht implementiert. Der Forscher konnte das Passwort jedes Benutzers zurücksetzen, indem er mittels einer einfachen Brute-Force-Methode den 6-stelligen Token erraten hat.
diff --git a/editions/2019/de/0xaa-insufficient-logging-monitoring.md b/editions/2019/de/0xaa-insufficient-logging-monitoring.md
@@ -1,5 +1,4 @@
-API10:2019 Insufficient Logging & Monitoring
-============================================
+# API10:2019 Insufficient Logging & Monitoring
 
 | Bedrohungsakteure/Angriffsvektoren | Sicherheitslücken | Auswirkungen |
 | - | - | - |
diff --git a/editions/2019/de/0xb0-next-devs.md b/editions/2019/de/0xb0-next-devs.md
@@ -1,5 +1,4 @@
-Was kommt als Nächstes für Entwickler?
-==========================
+# Was kommt als Nächstes für Entwickler?
 
 Die Aufgabe, sichere Software zu erstellen und zu pflegen oder bestehende Software zu reparieren, kann
 schwierig sein. Bei APIs ist das nicht anders.
diff --git a/editions/2019/de/0xb1-next-devsecops.md b/editions/2019/de/0xb1-next-devsecops.md
@@ -1,5 +1,4 @@
-Was kommt als Nächstes für DevSecOps?
-=========================
+# Was kommt als Nächstes für DevSecOps?
 
 Aufgrund ihrer Bedeutung in modernen Anwendungsarchitekturen ist der Aufbau sicherer
 APIs von entscheidender Bedeutung. Die Sicherheit darf nicht vernachlässigt werden und sollte Teil des
diff --git a/editions/2019/de/0xd0-about-data.md b/editions/2019/de/0xd0-about-data.md
@@ -1,5 +1,4 @@
-Methodik und Daten
-====================
+# Methodik und Daten
 
 ## Überblick
 
diff --git a/editions/2019/de/0xd1-acknowledgments.md b/editions/2019/de/0xd1-acknowledgments.md
@@ -1,5 +1,4 @@
-Danksagungen
-===============
+# Danksagungen
 
 ## Danksagungen an einzelne Mitwirkende
 

-Original file line number
+Diff line change
@@ @@ -1,5 +1,4 @@ @@
 -Notiz
 -======
 +# Notiz
 Dies ist die Textversion der OWASP API Security Top 10, die dient als Quelle für die
 offizielle Version, die als Portable Document Format (PDF) veröffentlicht wird.