translation russian

2019/ru/src/0x00-header.md

@@ -0,0 +1,17 @@
+![OWASP LOGO](images/owasp-logo.png)
+
+## OWASP API Security Top 10 2019
+
+Десять наиболее критичных рисков безопастности API
+
+29 Мая 2019 года
+
+![OWASP Logo URL TBA](images/front-wasp.png)
+
+| | | |
+| - | - | - |
+| https://owasp.org | В соответствии с лицензией [Creative Commons Attribution-ShareAlike 4.0 International License][1] | ![Creative Commons License Logo](images/front-cc.png) |
+
+[1]: http://creativecommons.org/licenses/by-sa/4.0/
+
+

2019/ru/src/0x00-notice.md

@@ -0,0 +1,11 @@
+Примечание
+======
+
+Это текстовая версия OWASP API Security Top 10, используемая для создания официальной версии, распространяемой в формате PDF.
+
+Содействие в проекте, например, комментарии, исправления или перевод должны быть сделаны здесь. За подробностями о [cодействии][1] обратитесь к [CONTRIBUTING.md][1].
+
+* Erez Yallon
+* Inon Shkedy
+
+[1]: ../../CONTRIBUTING.md

2019/ru/src/0x00-toc.md

@@ -0,0 +1,24 @@
+Содержание
+=================
+
+* [Содержание](0x00-toc.md)
+* [Об OWASP](0x01-about-owasp.md)
+* [Предисловие](0x02-foreward.md)
+* [Введение](0x03-introduction.md)
+* [Анонс выпуска](0x04-release-notes.md)
+* [Риски безопасности API](0x10-api-security-risks.md)
+* [OWASP Top 10 API Security Risks – 2019](0x11-t10.md)
+* [API1:2019 Некорректная Авторизация на Уровне Объектов](0xa1-broken-object-level-authorization.md)
+* [API2:2019 Некорректная Аутентификация Пользователей](0xa2-broken-user-authentication.md)
+* [API3:2019 Предоставление Излишних Данных](0xa3-excessive-data-exposure.md)
+* [API4:2019 Отсутствие ограничений на количество запросов и потребляемые ресурсы](0xa4-lack-of-resources-and-rate-limiting.md)
+* [API5:2019 Некорректная авторизация на уровне функций](0xa5-broken-function-level-authorization.md)
+* [API6:2019 Массовое переназначение параметров](0xa6-mass-assignment.md)
+* [API7:2019 Ошибки настроек безопасности](0xa7-security-misconfiguration.md)
+* [API8:2019 Инъекции](0xa8-injection.md)
+* [API9:2019 Ненадлежащее управление активами](0xa9-improper-assets-management.md)
+* [API10:2019 Недостаточное логирование и мониторинг](0xaa-insufficient-logging-monitoring.md)
+* [Дальнейшие шаги для разработчиков](0xb0-next-devs.md)
+* [Дальнейшие шаги для DevSecOps](0xb1-next-devsecops.md)
+* [Методология и данные](0xd0-about-data.md)
+* [Благодарность](0xd1-acknowledgments.md)

2019/ru/src/0x01-about-owasp.md

@@ -0,0 +1,45 @@
+Об OWASP
+===========
+
+Open Web Application Security Project (OWASP) - открытое сообщество, нацеленное на предоставление возможности организациям разрабатывать, покупать и поддерживать приложения и API, которым можно доверять.
+
+В OWASP вы найдёте открытые и бесплатные:
+
+* Инструменты и стандарты по безопасности приложений.
+* Полноценные книги по тестированию безопасности, разработке безопасного кода и код ревью на безопасность.
+* Презентации и [видео][1].
+* [Списки рекомендаций (Cheat sheets)][2] на разные темы.
+* Стандартизированные меры безопасности и библиотеки.
+* [Локальные отделения по всему миру][3].
+* Современнейшие исследования.
+* Масштабные [конференции по всему миру][4].
+* [Списки рассылки][5].
+
+Узнайте больше на [https://www.owasp.org][6].
+
+Все инструменты, документы, видео, презентации и отделения OWASP бесплатны и открыты для всех, кто заинтересован в улучшении безопасности разработки приложений.
+
+Мы выступаем за подход к безопасности к разработке приложений как к проблеме на уровне людей, процессов и технологий, поскольку наиболее эффективные методы обеспечения безопасности приложений требует улучшения на всех этих уровнях.
+
+OWASP - это новый вид организации. Наша свобода от давления коммерческих организаций позволяет нам предоставлять беспристрастную, практичную и экономически оправданную информацию о безопасности приложений.
+
+OWASP не аффилирован ни с какими технологическими компаниям, однако мы поддерживаем информированное использование коммерческих технологий по безопасности. OWASP создаёт множество материалов коллективным, прозрачным и открытым способом.
+
+OWASP Foundation - некоммерческая организация, обеспечивающая долговременный успех проекта. Почти все участники OWASP - волонтёры, включая исполнительный комитет OWASP, руководителей отделений, лидеров и участников проектов. Мы поддерживаем инновационные исследования по безопасности грантами и инфраструктурой.
+
+Присоединяйтесь к нам!
+
+## Право интелектуальной собственности и лицензии
+
+![license](images/license.png)
+
+Право интелектуальной собственности © 2003-2019 The OWASP Foundation. 
+Этот документ выпущен в соответствии с [лицензией Creative Commons Attribution Share-Alike 4.0][7]. При переиспользовании или распространении вы обязаны разъяснить условия лицензии данного документа.
+
+[1]: https://www.youtube.com/user/OWASPGLOBAL
+[2]: https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series
+[3]: https://www.owasp.org/index.php/OWASP_Chapter
+[4]: https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference
+[5]: https://lists.owasp.org/mailman/listinfo
+[6]: https://www.owasp.org
+[7]: http://creativecommons.org/licenses/by-sa/4.0/

2019/ru/src/0x02-foreword.md

@@ -0,0 +1,27 @@
+Предисловие
+========
+
+Программный интерфейс приложений (API) - фундаментальный элемент инноваций в современном, движимом приложениями мире. API - важная составляющая современных мобильных, SaaS и веб приложений, используемая в клиентских, партнерских и внутренних приложениях от банковской сферы, сфер розничных продаж и логистики до интернета вещей, автономных автомобилей и умных городов.
+
+По своей природе API раскрывают логику приложения и критичные данные, например, персональные данные, именно поэтому API все чаще становятся целью злоумышленников. Стремительные инновации невозможны без безопасных API.
+
+Несмотря на то, что более обширный Web Application Security Risks Top 10 по прежнему актуален, ввиду специфики API, необходим отдельный список рисков безопасности специфичных для API. Безопасность API фокусируется на стратегиях и решениях, направленных на понимание и предотвращение уникальных уязвимостей и рисков безопасности, связанных с использованием API.
+
+Если вы уже знакомы с [OWASP Top 10 Project][1], то наверняка заметите сходства с настоящим документом, их основная цель - улучшение читаемости и повышение частоты использования настоящего документа. Если вы не знакомы с семейством OWASP Top 10, то рекомендуем сначала ознакомиться с секциями [Риски Безопасности API][2] и [Методология и Данные][3] перед погружением в список Top 10.
+
+Вы можете посодействовать OWASP API Security Top 10 своими вопросами, комментариями и идеями в нашем репозитории GitHub:
+
+* https://github.com/OWASP/API-Security/issues
+* https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
+
+Вы можете ознакомиться с OWASP API Security Top 10 здесь:
+
+* https://www.owasp.org/index.php/OWASP_API_Security_Project
+* https://github.com/OWASP/API-Security
+
+Мы хотим поблагодарить всех участников проекта, которые своим вкладом и стараниями помогли проекту свершиться. Все они перечислены в секции [Благодарность][4]. Спасибо вам!
+
+[1]: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd0-about-data.md
+[4]: ./0xd1-acknowledgments.md

2019/ru/src/0x03-introduction.md

@@ -0,0 +1,17 @@
+Введение
+============
+
+## Добро пожаловать в OWASP API Security Top 10 - 2019!
+
+Добро пожаловать в первую версию OWASP API Security Top 10. Если вы знакомы с семейством OWASP Top 10, то вы заметите сходства, их основная цель - улучшение читаемости и повышение частоты использования настоящего документа. В противном случае посетите страницу [OWASP API Security Project wiki][1] перед погружением в наиболее критичные риски безопасности API.
+
+API играют важную роль в архитектуре современных приложений. Поскольку информированность в сфере безопасности и инновации движутся с разной скоростью, важно сфокусироваться на общих недостатках безопасности API.
+
+Основная цель OWASP API Security Top 10 - предоставить информацию людям, вовлечённым в разработку и поддержание API, например, разработчикам, дизайнерам, архитекторам, менеджерам или целым организациям.
+
+В секции [Методология и Данные][2] вы можете более подробно ознакомиться с тем, как была создана текущая версия. В будущих версиях мы хотим вовлечь индустрию безопасности путём публичного сбора данных. А сейчас мы призываем всех внести свой вклад вопросами, комментариями и идеями в нашем [GitHub репозитории][3] или [Списке рассылки][4].
+
+[1]: https://www.owasp.org/index.php/OWASP_API_Security_Project
+[2]: ./0xd0-about-data.md
+[3]: https://github.com/OWASP/API-Security
+[4]: https://groups.google.com/a/owasp.org/forum/#!forum/api-security-project

2019/ru/src/0x04-release-notes.md

@@ -0,0 +1,14 @@
+Анонс выпуска
+=============
+
+Это первая версия OWASP API Security Top 10, которую мы планируем обновлять каждые три-четыре года.
+
+В будущих версиях, в отличие от этой, мы планируем публичный сбор данных, вовлекая индустрию безопасности в эту активность. В секции [Методология и Данные][1] вы можете найти подробности о том, как эта версия была создана. Для дополнительной информации о рисках безопасности обратитесь к секции [Риски безопасности API][2].
+
+Необходимо понимать, что за последние несколько лет архитектура приложений значительно изменилась. В настоящий момент API играют очень важную роль в новой архитектуре микросервисов, одностраничных приложений (SPA), мобильных приложений, интернете вещей и так далее.
+
+OWASP API Security Top 10 - попытка повысить информированность о проблемах безопасности современных API. Он был возможен благодаря труду волонтёров, перечисленных в секции [Благодарность][3]. Спасибо вам!
+
+[1]: ./0xd0-about-data.md
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd1-acknowledgments.md

2019/ru/src/0x10-api-security-risks.md

@@ -0,0 +1,39 @@
+Риски безопасности API
+==================
+
+Для анализа рисков была использована [Методология оценки рисков OWASP][1].
+
+Терминология, относящаяся к оценкам риска, приведена в таблице ниже.
+
+| Источники угроз | Сложность эксплуатации | Распространенность | Сложность обнаружения | Технические последствия | Последствия для бизнеса |
+| :-: | :-: | :-: | :-: | :-: | :-: |
+| Зависит от API | Просто: **3** | Широкая **3** | Просто **3** | Значительные **3** | Зависит от бизнеса |
+| Зависит от API | Средне: **2** | Обычная **2** | Средне **2** | Средние **2** | Зависит от бизнеса |
+| Зависит от API | Сложно: **1** | Редкая **1** | Сложно **1** | Незначительные **1** | Зависит от бизнеса |
+
+**Примечание**: Этот подход не принимает во внимание источник угроз, а также различные технические детали вашего конкретного приложения. Любой из этих факторов может значительно повлиять на общую вероятность обнаружения и эксплуатации злоумышленником конкретной уязвимости. Эта система оценки не принимает во внимание фактические последствия для вашего бизнеса. Вашей организации необходимо решить, какие риски безопасности, создаваемые приложениями и API, она готова принять с учётом её культуры безопасности, индустрии и требований регуляторов. Проведение анализа рисков за вас не является целью OWASP API Security Top 10.
+
+## Ссылки
+
+### OWASP
+
+* [OWASP Risk Rating Methodology][1]
+* [Article on Threat/Risk Modeling][2]
+
+### Внешние
+
+* [ISO 31000: Risk Management Std][3]
+* [ISO 27001: ISMS][4]
+* [NIST Cyber Framework (US)][5]
+* [ASD Strategic Mitigations (AU)][6]
+* [NIST CVSS 3.0][7]
+* [Microsoft Threat Modeling Tool][8]
+
+[1]: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
+[2]: https://www.owasp.org/index.php/Threat_Risk_Modeling
+[3]: https://www.iso.org/iso-31000-risk-management.html
+[4]: https://www.iso.org/isoiec-27001-information-security.html
+[5]: https://www.nist.gov/cyberframework
+[6]: https://www.asd.gov.au/infosec/mitigationstrategies.htm
+[7]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
+[8]: https://www.microsoft.com/en-us/download/details.aspx?id=49168