Translation/fa

2019/fa/src/0x00-header.md

@@ -0,0 +1,24 @@
+<div dir="rtl" align='right'>
+
+![OWASP LOGO](images/owasp-logo.png)
+
+
+## OWASP API Security Top 10 2019
+
+10 ریسک بحرانی امنیت API از منظر OWASP - 2019
+
+29 می 2019
+
+![WASP Logo URL TBA](images/front-wasp.png)
+
+</div>
+
+
+
+| | | |
+| - | - | - |
+| https://owasp.org | <div dir="rtl" align='right'> این اثر تحت مجوز زیر توسعه داده شده است: </div> [Creative Commons Attribution-ShareAlike 4.0 International License][1] | ![Creative Commons License Logo](images/front-cc.png) |
+
+[1]: https://creativecommons.org/licenses/by-sa/4.0/
+
+

2019/fa/src/0x00-notice.md

@@ -0,0 +1,16 @@
+<div dir="rtl" align='right'>
+
+اطلاعیه
+======
+
+این نسخه متنی OWASP API Security Top 10 است. به عنوان مرجع برای نسخه رسمی منتشر شده، در قالب یک سند قابل حمل  (PDF) استفاده می شود.
+
+مشارکت در پروژه مانند نظرات، اصلاحات یا ترجمه ها باید در اینجا انجام شود. برای جزئیات بیشتر در مورد نحوه مشارکت، لطفاً به CONTRIBUTING.md مراجعه فرمایید.
+
+</div>
+
+* Erez Yallon
+* Inon Shkedy
+
+
+

2019/fa/src/0x00-toc.md

@@ -0,0 +1,29 @@
+<div dir="rtl" align='right'>
+
+فهرست مطالب
+==========================
+
+* [ فهرست مطالب](0x00-toc.md)
+* [درباره OWASP](0x01-about-owasp.md)
+* [ پیش‌گفتار](0x02-foreword.md)
+* [ مقدمه](0x03-introduction.md)
+* [ یادداشت](0x04-release-notes.md)
+* [ ریسک‌های امنیت API](0x10-api-security-risks.md)
+* [ ده ریسک امنیت API OWASP 2019](0x11-t10.md)
+* [API1:2019 مجوزدهی نادرست در سطح اشیا](0xa1-broken-object-level-authorization.md)
+* [API2:2019 احرازهویت نادرست کاربر](0xa2-broken-user-autentication.md)
+* [API3:2019 افشای مفرط داده](0xa3-excessive-data-exposure.md)
+* [API4:2019 کمبود منابع و نبود محدودیت بر نرخ ارسال](0xa4-lack-of-resources-and-rate-limiting.md)
+* [API5:2019 مجوزدهی نادرست در سطح توابع](0xa5-broken-function-level-authorizaion.md)
+* [API6:2019 تخصیص جمعی](0xa6-mass-assignment.md)
+* [API7:2019 پیکربندی امنیتی نادرست](0xa7-security-misconfiguration.md)
+* [API8:2019 تزریق ورودی‌های مخرب](0xa8-injections.md)
+* [API9:2019 مدیریت نادرست دارایی‌ها](0xa9-improper-asset-management.md)
+* [API10:2019 پایش و نظارت ناکافی](0xaa-insufficient-monitoring.md)
+* [ادامه برای توسعه دهندگان](0xb0-next-devs.md)
+* [ ادامه برای DevSecOps](0xb1-next-devsecops.md)
+* [ متدولوژی و داده](0xd0-about-data.md)
+* [سپاسگزاری](0xd1-acknowledgments.md)
+
+
+</div>

2019/fa/src/0x01-about-owasp.md

@@ -0,0 +1,48 @@
+<div dir="rtl" align='right'>
+
+درباره OWASP
+============
+
+پروژه بازمتن امنیت وب اپلیکیشن‌ها (OWASP)  جامعه ای باز و آزاد است که اختصاصا در حوزه توانمندسازی سازمان‌ها در حوزه توسعه، تهیه و ایجاد اپلیکیشن‌ها و APIهای قابل اعتماد فعالیت دارد.
+
+ در OWASP، موارد زیر را بصورت رایگان و آزاد خواهید یافت:
+
+* استانداردها و ابزارهای امنیت اپلیکیشن.
+* کتاب‌هایی درباره تست امنیت اپلیکیشن‌ها، توسعه ایمن کد و بازبینی امنیت کد.
+* ارائه‌ها و [ویدئوها][1].
+* [راهنما و برگه تقلب][2] برای بسیاری از موضوعات رایج.
+* کنترل‌ها و کتابخانه‌های استاندارد در حوزه امنیت.
+* [شعب محلی در سرتاسر جهان.][3]
+* تحقیقات به روز و پیشرو در حوزه امنیت.
+* [کنفرانس‌های تخصصی][4] در سرتاسر جهان.
+* [یست‌های پست الکترونیک][5] برای ارسال اخبار.
+
+اطلاعات بیشتر در: https://owasp.org
+
+تمامی ابزارها، مستندات، ویدئوها، ارائه‌ها و شعب OWASP رایگان بوده و استفاده از یا مشارکت در آنها برای کلیه افرادی که تمایل به بهبود امنیت اپلیکیشن‌ها دارند، آزاد است.
+
+در OWASP امنیت اپلیکیشن بعنوان مساله‌ای مهم از منظر افراد، فرایندها و فناوری‌ها در نظر گرفته می‌شود چرا که موثرترین رویکردها در امنیت اطلاعات نیز به بهبود در این حوزه‌ها نیاز دارند.
+
+OWASP تعریف جدیدی از سازمان ارائه می‌دهد. رهایی از بند فشار مسائل مالی امکان فراهم آوردن اطلاعات بیطرفانه، عملی و مقرون به صرفه در حوزه امنیت اپلیکیشن‌ها را به ما داده است.
+
+OWASP به هیچ کمپانی فناوری وابستگی ندارد اگرچه از استفاده آگاهانه از فناوری‌های تجاری در حوزه امنیت نیز حمایت می‌کنیم. OWASP انواع مختلفی از اطلاعات را به گونه‌ای همکارانه، شفاف و باز ارائه می‌دهد.
+
+بنیاد OWASP موجودیتی غیرانتفاعی و عام المنفعه است که توفیق بلند مدت پروژه OWASP را تضمین می‌نماید. تقریبا تمامی کسانی که با OWASP پیوند دارند، از قبیل اعضای هیئت مدیره، روسای شعبه‌ها، راهبران پروژه‌ها و اعضای پروژه‌ها داوطلبانه این همکاری را انجام می‌دهند. همچنین ما از تحقیقات نوآورانه در حوزه امنیت با ارائه کمک‌های مالی و زیرساختی حمایت می‌کنیم.
+
+به ما بپیوندید!
+
+## حق چاپ و مجوز
+
+![license](images/license.png)
+
+حق چاپ © 2003-2019 بنیاد OWASP. این اثر تحت مجوز [Creative Commons Attribution ShareAlike 4.0 International License][7] توسعه داده شده است. برای هرگونه استفاده مجدد یا انتشار، باید شرایط مجوز این اثر را برای دیگران شفاف نمایید.
+
+[1]: https://www.youtube.com/user/OWASPGLOBAL
+[2]: https://owasp.org/index.php/OWASP_Cheat_Sheet_Series
+[3]: https://owasp.org/index.php/OWASP_Chapter
+[4]: https://owasp.org/index.php/Category:OWASP_AppSec_Conference
+[5]: https://lists.owasp.org/mailman/listinfo
+[6]: https://www.owasp.org
+[7]: http://creativecommons.org/licenses/by-sa/4.0/
+
+</div>

2019/fa/src/0x02-foreword.md

@@ -0,0 +1,39 @@
+<div dir="rtl" align='right'>
+
+پیش‌گفتار
+========
+
+در دنیای مبتنی بر App امروز، یکی از ابعاد بنیادین نوآوری واسط برنامه نویسی اپلیکیشن  یا همان APIها هستند. از بانک‌‌ها گرفته تا خرده فروشی‌‌ها، حوزه حمل نقل، اینترنت اشیا، وسائل نقلیه خودران و شهرهای هوشمند، APIها بخشی حیاتی از اپلیکیشن‌‌های موبایل، وب و SaaS به شمار می‌آیند.
+
+ذاتا APIها منطق اپلیکیشن و داده‌‌های حساسی PII (از قبیل داده‌‌هایی که به تنهایی و بدون نیاز به داده اضافی دیگر، هویت یک کاربر را عیان می کنند نظیر شماره ملی) را در معرض دید قرارداده و در نتیجه، به طور روزافزون توجه بخش بیشتری از مهاجمین را به خود جلب می‌نمایند. بدون داشتن APIهایی ایمن، توسعه سریع نوآوری‌‌های فناورانه، امکان پذیر نخواهد بود.
+
+اگر چه کماکان می‌توان از لیست ده آسیب‌پذیری امنیتی بحرانی وب اپلیکیشن‌‌ها نیز برای امنیت APIها بهره برد، اما با توجه به ماهیت خاص APIها نیاز به لیستی از تهدیدات امنیتی مختص آنها احساس می‌شود. مقوله امنیت API بر راهکارها و استراتژی‌‌های لازم برای فهم و رفع آسیب‌پذیری‌‌ها و تهدیدات امنیتی خاص و منحصر به APIها تمرکز دارد.
+
+اگر با [پروژه OWASP Top 10][1] آشنایی داشته باشید، شباهت‌‌هایی بین آن و مستند پیش رو خواهید یافت: هر دو با نیت فهم آسان توسط مخاطب و قابلیت بکارگیری و انطباق در سازمان تهیه شده‌اند. در صورتی که با مجموعه‌‌های OWASP Top 10 آشنایی ندارید، بهتر است پیش از رفتن به سراغ لیست اصلی، بخش‌‌های [ریسک‌‌های امنیتی API][2] و [متدلوژی و داده][3] از همین مستند را مطالعه نمایید.
+
+با پرسش‌‌ها، نظرات و ایده‌‌های خود در GitHub پروژه می توانید در توسعه OWASP API Security Top 10 مشارکت کنید:
+
+</div>
+
+* https://github.com/OWASP/API-Security/issues
+* https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
+
+<div dir="rtl" align='right'>
+
+در اینجا می توانید OWASP API Security Top 10 را بیابید:
+
+</div>
+
+* https://www.owasp.org/index.php/OWASP_API_Security_Project
+* https://github.com/OWASP/API-Security
+
+<div dir="rtl" align='right'>
+
+بدین وسیله از تمامی مشارکت کنندگان در این پروژه که با تلاش‌‌های خود در بوجود آمدن آن نقش داشته اند سپاسگزاریم. لیست تمامی آنها در [قسمت سپاسگزاری‌‌ها][4] قابل مشاهده است. متشکریم!
+
+[1]: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd0-about-data.md
+[4]: ./0xd1-acknowledgments.md
+
+</div>

2019/fa/src/0x03-introduction.md

@@ -0,0 +1,21 @@
+<div dir="rtl" align='right'>
+
+مقدمه
+============
+
+## به OWASP API Security Top 10 – 2019 خوش آمدید!
+
+به اولین ویراست ده ‌‌آسیب‌پذیری برتر امنیت API خوش آمدید. اگر با پروژه OWASP Top 10 آشنایی داشته باشید، شباهت‌هایی بین آن و مستند پیش رو خواهید یافت: هر دو با نیت فهم آسان توسط مخاطب و قابلیت بکارگیری و انطباق در سازمان تهیه شده‌اند. در غیر این صورت، پیش از مطالعه عمیق‌تر ریسک‌‌های بحرانی امنیت API بهتر است [صفحه ویکی پروژه امنیت API][1] را مطالعه نمایید.
+
+در معماری اپلیکیشن‌‌های مدرن امروزی API نقش خیلی مهمی دارد. از آنجا که آگاهی بخشی امنیتی و نوآوری در این حوزه گام‌‌های مختلفی دارد، تمرکز بر نقاط ضعف رایج APIها اهمیت زیادی خواهد داشت.
+
+هدف اصلی مستند و پروژه ده ‌‌آسیب‌پذیری بحرانی امنیت API آموزش افراد دخیل در توسعه و نگهداری APIها از قبیل توسعه دهندگان، طراحان، معماران، مدیران و سازمان‌‌ها است.
+
+در بخش [متدلوژی و داده][2]، اطلاعات بیشتری درباره نحوه ایجاد اولین نسخه از مستند حاضر خواهید یافت. در نسخه‌‌های آتی، جامعه امنیت را نیز دخیل نموده و به منظور دریافت داده‌‌های مرتبط، فراخوان عمومی خواهیم داد. در حال حاضر همگان را به مشارکت در [مخزن Github][3] یا [لیست پست الکترونیک][4] ما از طریق ارسال سوال، نظر و پیشنهاد تشویق می‌کنیم.
+
+[1]: https://www.owasp.org/index.php/OWASP_API_Security_Project
+[2]: ./0xd0-about-data.md
+[3]: https://github.com/OWASP/API-Security
+[4]: https://groups.google.com/a/owasp.org/forum/#!forum/api-security-project
+
+</div>

2019/fa/src/0x04-release-notes.md

@@ -0,0 +1,20 @@
+<div dir="rtl" align='right'>
+
+یادداشت
+=======================
+
+مستند پیش رو اولین ویراست ده ‌‌آسیب‌پذیری بحرانی امنیت API است و ما بنا برآن داریم که بصورت دوره‌ای، هر سه یا چهارسال یکبار، آن را بروزرسانی نماییم.
+
+بر خلاف نسخه حاضر، در نسخه‌های آتی برای دریافت داده‌های عمومی فراخوان داده و صنعت امنیت سایبری را نیز در تلاش خود سهیم خواهیم کرد. برای آشنایی بیشتر با نحوه آماده سازی این مستند می‌توانید به بخش [متدولوژی و داده][1] مراجعه نمایید. همچنین جزئیات ریسک‌های امنیتی مرتبط در بخش [ریسک‌‌‌های امنیتی API][2] قابل مطالعه هستند.
+
+فهم تغییرات اساسی در معماری اپلیکیشن‌ها در سالیان گذشته از اهمیت زیادی برخوردار است. امروره APIها نقشی کلیدی در معماری ریزسرویس‌ها ، اپلیکیشن‌های تک صفحه ای (SPA )، اپلیکیشن‌های موبایل، اینترنت اشیاء و ... دارند.
+
+پروژه ده آسیب‌پذیری بحرانی امنیت API تلاشی ضروری برای آگاهی بخشی در حوزه مسائل امنیتی APIهای مدرن به شمار می‌رود که بدون تلاش‌های داوطلبانه افراد متعدد، که در بخش [سپاسگزاری‌ها][3] از تمامی آنان نام برده شده، به سرانجام رساندن آن امکان پذیر نبود. متشکریم!
+
+
+
+[1]: ./0xd0-about-data.md
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd1-acknowledgments.md
+
+</div>

2019/fa/src/0x10-api-security-risks.md

@@ -0,0 +1,51 @@
+<div dir="rtl" align='right'>
+
+ریسک‌‌‌های امنیتی API
+================================
+
+به منظور تحلیل ریسک، از [متدولوژی رتبه بندی ریسک OWASP][1] استفاده شده است.
+
+جدول زیر، واژگان مرتبط با رتبه ریسک را مختصرا نشان می‌دهد.
+
+
+
+| عوامل تهدید | قابلیت بهره برداری | میزان شیوع آسیب‌پذیری| قابلیت شناسایی آسیب‌پذیری	 | پیامد فنی	 | تاثیر بر کسب و کار |
+|-------------|--------------------|---------------------|---------------------------|---------------|---------------------|
+| خاص API     | آسان: 3	           | گسترده: 3	         | آسان: 3	                 | شدید: 3	     | خاص کسب و کار       |
+| خاص API     | متوسط: 2	       | متداول: 2	         | متوسط: 2	                 | متوسط: 2	     | خاص کسب و کار       |
+| خاص API     | سخت: 1	           | سخت: 1	             | سخت: 1	                 | جزئی: 1       | خاص کسب و کار       |
+
+**توجه:** در این رویکرد، نوع فناوری مورد استفاده و احتمال وقوع آسیب‌پذیری در رتبه ریسک تاثیر ندارند؛ بعبارت دیگر در این روش رتبه بندی ریسک، راهکار مورد استفاده برای پیاده سازی API ، با رویکردی مستقل از جزئیات فناوری به ارزیابی ریسک می‌پردازد. هرکدام از عوامل یاد شده می‌تواند در پیداکردن و سواستفاده از یک آسیب‌پذیری به مهاجم کمک بسزایی کند. این رتبه بندی تاثیر واقعی بر کسب و کارها را نشان نداده و این سازمان‌ها هستند که با توجه به نوع کسب و کار و فرهنگ سازمانی خود، در میزان پذیرش خطر امنیتی استفاده از اپلیکیشن‌ها و APIها تصمیم گیرنده هستند. هدف از مستند ده آسیب‌پذیری بحرانی امنیت API، تحلیل ریسک نیست.
+
+##  مراجع
+
+</div>
+
+### OWASP
+
+* [OWASP Risk Rating Methodology][1]
+* [Article on Threat/Risk Modeling][2]
+
+<div dir="rtl" align='right'>
+
+### خارجی
+
+</div>
+
+* [ISO 31000: Risk Management Std][3]
+* [ISO 27001: ISMS][4]
+* [NIST Cyber Framework (US)][5]
+* [ASD Strategic Mitigations (AU)][6]
+* [NIST CVSS 3.0][7]
+* [Microsoft Threat Modeling Tool][8]
+
+[1]: https://owasp.org/index.php/OWASP_Risk_Rating_Methodology
+[2]: https://www.owasp.org/index.php/Threat_Risk_Modeling
+[3]: https://www.iso.org/iso-31000-risk-management.html
+[4]: https://www.iso.org/isoiec-27001-information-security.html
+[5]: https://www.nist.gov/cyberframework
+[6]: https://www.asd.gov.au/infosec/mitigationstrategies.htm
+[7]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
+[8]: https://www.microsoft.com/en-us/download/details.aspx?id=49168
+
+