Merge branch 'release/2.3.0'

VERSION

@@ -1 +1 @@
-2.2.1
+2.3.0

docs/assets/stylesheets/extra.css

@@ -8,5 +8,5 @@
 }
 
 .md-grid {
-  max-width: 75%;
+  max-width: 67rem;
 }

editions/2019/de/0x00-header.md

@@ -0,0 +1,21 @@
+---
+title: ''
+---
+
+![OWASP LOGO](./images/owasp-logo.png)
+
+# OWASP API Security Top 10 2019
+
+Die 10 kritischsten Sicherheitsrisiken für APIs
+
+27 Januar 2023
+
+![WASP Logo URL TBA](./images/front-wasp.png)
+
+| | | |
+| - | - | - |
+| https://owasp.org | This work is licensed under a [Creative Commons Attribution-ShareAlike 4.0 International License][1] | ![Creative Commons License Logo](images/front-cc.png) |
+
+[1]: http://creativecommons.org/licenses/by-sa/4.0/
+
+

editions/2019/de/0x00-notice.md

@@ -0,0 +1,13 @@
+# Notiz
+
+Dies ist die Textversion der OWASP API Security Top 10, die dient als Quelle für die
+offizielle Version, die als Portable Document Format (PDF) veröffentlicht wird.
+
+Beiträge zum Projekt wie Kommentare, Korrekturen oder Übersetzungen
+sollten hier gemacht werden. Einzelheiten dazu [wie sie beitragen können][1] finden Sie unter
+[CONTRIBUTING.md][1].
+
+* Erez Yallon
+* Inon Shkedy
+
+[1]: ../../../CONTRIBUTING.md

editions/2019/de/0x00-toc.md

@@ -0,0 +1,23 @@
+# Inhaltsverzeichnis
+
+* [Inhaltsverzeichnis](0x00-toc.md)
+* [Über das OWASP](0x01-about-owasp.md)
+* [Vorwort](0x02-foreword.md)
+* [Einleitung](0x03-introduction.md)
+* [Erläuterungen zur Veröffentlichung](0x04-release-notes.md)
+* [Sicherheitsrisiken für APIs](0x10-api-security-risks.md)
+* [OWASP Top 10 API Security Risks – 2019](0x11-t10.md)
+* [API1:2019 Broken Object Level Authorization](0xa1-broken-object-level-authorization.md)
+* [API2:2019 Broken User Authentication](0xa2-broken-user-authentication.md)
+* [API3:2019 Excessive Data Exposure](0xa3-excessive-data-exposure.md)
+* [API4:2019 Lack of Resources & Rate Limiting](0xa4-lack-of-resources-and-rate-limiting.md)
+* [API5:2019 Broken Function Level Authorization](0xa5-broken-function-level-authorization.md)
+* [API6:2019 Mass Assignment](0xa6-mass-assignment.md)
+* [API7:2019 Security Misconfiguration](0xa7-security-misconfiguration.md)
+* [API8:2019 Injection](0xa8-injection.md)
+* [API9:2019 Improper Assets Management](0xa9-improper-assets-management.md)
+* [API10:2019 Insufficient Logging & Monitoring](0xaa-insufficient-logging-monitoring.md)
+* [Was kommt als nächstes auf die Entwickler zu?](0xb0-next-devs.md)
+* [Was kommt als nächstes auf die DevSecOps zu?](0xb1-next-devsecops.md)
+* [Methodik und Daten](0xd0-about-data.md)
+* [Danksagungen](0xd1-acknowledgments.md)

editions/2019/de/0x01-about-owasp.md

@@ -0,0 +1,46 @@
+# Über das OWASP
+
+Das Open Web Application Security Project (OWASP) ist eine offene Gemeinschaft, deren Ziel es ist Organisationen zu ermöglichen, Anwendungen und APIs zu entwickeln, zu erwerben und zu pflegen, denen man vertrauen kann.
+
+Bei OWASP finden Sie freie und offene:
+
+* Tools und Standards für die Anwendungssicherheit.
+* Vollständige Bücher über Anwendungssicherheitstests, sichere Codeentwicklung und Sicherheitsüberprüfungen von Code.
+* Präsentationen und [Videos][1].
+* [Cheat sheets][2] zu vielen gängigen Themen.
+* Standard-Sicherheitskontrollen und Bibliotheken.
+* [Örtliche Chapter weltweit][3].
+* Modernste Forschung.
+* Umfangreiche [Konferenzen weltweit][4].
+* [Mailinglisten][5].
+
+Lerne mehr darüber auf: [https://www.owasp.org][6].
+
+Alle OWASP-Tools, -Dokumente, -Videos, -Präsentationen und -Kapitel sind kostenlos und für jeden zugänglich, der an der Verbesserung von Anwendungssicherheit interessiert ist.
+
+
+Wir plädieren dafür, die Anwendungssicherheit als ein Mensch-, Prozess- und
+Technologieproblem zu betrachten, da die effektivsten Ansätze zur Anwendungssicherheit Verbesserungen in diesen Bereichen liegen.
+
+Die OWASP ist eine neue Art von Organisation. Unsere Freiheit von kommerziellen Zwängen ermöglicht es uns, unvoreingenommene, praktische und kostengünstige Informationen über Anwendungssicherheit zuliefern.
+
+OWASP ist nicht mit einem Technologieunternehmen verbunden, obwohl wir den
+Einsatz kommerzieller Sicherheitstechnologien unterstützen. Die OWASP erstellt viele Arten von Materialien in einer gemeinschaftlichen, transparenten und offenen Weise.
+
+Die OWASP Foundation ist die gemeinnützige Einrichtung, die den langfristigen Erfolg des Projekts sicherstellt. Fast jeder, der mit OWASP zu tun hat, ist ein Freiwilliger, einschließlich des OWASP-Vorstands, der Chapter-Leiter, der Projektleiter und der Projektmitglieder. Wir unterstützen innovative Sicherheitsforschung mit Zuschüssen und Infrastruktur.
+
+Tritt uns bei!
+
+## Copyright und Lizenz
+
+![license](images/license.png)
+
+Copyright © 2003-2019 Die OWASP-Stiftung. Dieses Dokument ist veröffentlicht unter der [Creative Commons Attribution Share-Alike 4.0 Lizenz][7]. Bei jeder Wiederverwendung oder Weitergabe müssen Sie anderen die Lizenzbedingungen dieser Arbeit deutlich machen.
+
+[1]: https://www.youtube.com/user/OWASPGLOBAL
+[2]: https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series
+[3]: https://www.owasp.org/index.php/OWASP_Chapter
+[4]: https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference
+[5]: https://lists.owasp.org/mailman/listinfo
+[6]: https://www.owasp.org
+[7]: http://creativecommons.org/licenses/by-sa/4.0/

editions/2019/de/0x02-foreword.md

@@ -0,0 +1,41 @@
+# Vorwort
+
+Ein fundamentales Element der Innovation in der heutigen App-getriebenen Welt ist die
+Anwendungsprogrammierschnittstelle (API). Von Bankenwesen, dem Einzelhandel 
+bis hin zu IoT-Systemen, autonomen Fahrzeugen und intelligenten Städten - APIs sind ein wichtiger Bestandteil der
+modernen mobilen und Webanwendungen. APIs sind in alle modernen externen und internen Anwendungen zu finden.
+
+APIs stellen von Natur aus Anwendungslogik und sensible Daten wie personenbezogene
+Daten externen Dritten zur Verfügung. Deshalb sind APIs zunehmend zu
+einem Ziel für Angreifer geworden. Ohne sichere APIs wäre eine schnelle Innovation
+unmöglich.
+
+Obwohl eine umfassendere Top-10-Liste der Sicherheitsrisiken von Webanwendungen in Teilen anwendbar ist, ist aufgrund 
+ihrer eigenen Besonderheiten eine API-spezifische Liste der Sicherheitsrisiken sinnvoll.
+Die OWASP Top 10 API Security Risks konzentriert sich auf die Vermittlung von Strategien zur Behebung der gängigsten
+Schwachstellen und Sicherheitsrisiken im Zusammenhang mit APIs.
+
+Wenn Sie mit dem [OWASP Top 10 Project][1] vertraut sind, dann werden Sie die
+Ähnlichkeiten zwischen diesen beiden Dokumenten feststellen. Diese Ähnlichkeiten ermöglichen eine schnelle Einarbeitung 
+in diese Thematik. Wenn Sie die OWASP Top 10-Reihe noch nicht kennen, sollten Sie zuerst 
+die Kapitel [Sicherheitsrisiken für APIs][2] und [Methodik und Daten][3] lesen
+bevor Sie sich mit dieser Top-10-Liste befassen.
+
+Sie können zu den OWASP API Security Top 10 mit Ihren Fragen, Kommentaren 
+und Ideen in unserem GitHub-Projekt-Repository beitragen:
+
+* https://github.com/OWASP/API-Security/issues
+* https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
+
+Sie können die OWASP API Security Top 10 hier finden:
+
+* https://www.owasp.org/index.php/OWASP_API_Security_Project
+* https://github.com/OWASP/API-Security
+
+Wir danken allen Beteiligten, die dieses Projekt mit ihrem Engagement und ihren Beiträgen möglich gemacht haben.
+Sie sind alle im Abschnitt [Danksagungen][4] aufgeführt. Vielen Dank!
+
+[1]: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd0-about-data.md
+[4]: ./0xd1-acknowledgments.md

editions/2019/de/0x03-introduction.md

@@ -0,0 +1,18 @@
+# Einleitung
+
+## Willkommen bei der OWASP API Security Top 10 - 2019!
+
+Willkommen zur ersten Ausgabe der OWASP API Security Top 10. Wenn Sie mit der OWASP Top 10-Serie vertraut sind, werden Sie die Ähnlichkeiten bemerken: Sie sind auf Lesbarkeit und Akzeptanz ausgelegt. Andernfalls sollten Sie einen Blick auf die [OWASP API Security Project wiki page][1] werfen, bevor Sie sich näher mit den wichtigsten API-Sicherheitsrisiken auseinandersetzen.
+
+APIs spielen eine sehr wichtige Rolle in der Architektur moderner Anwendungen. Da Sicherheitsbewusstsein und Innovation unterschiedliche Geschwindigkeiten haben, ist es wichtig, sich auf allgemeine API-Schwächen zu konzentrieren.
+
+Das primäre Ziel der OWASP API Security Top 10 ist es, 
+die an der Entwicklung und Wartung von APIs beteiligt sind, zum Beispiel Entwickler, Designer Architekten, Manager oder Organisationen zu bilden.
+
+Im Abschnitt [Methodik und Daten][2] können Sie mehr darüber lesen, wie diese erste Ausgabe erstellt wurde. In künftigen Versionen wollen wir die Sicherheitsbranche einbeziehen, mit einem öffentlichen Aufruf zur Datenerhebung. Für den Moment ermutigen wir jeden dazu sich mit Fragen, Kommentaren und Ideen an unser [GitHub-Repository][3] oder unsere
+[Mailingliste][4] zuwenden.
+
+[1]: https://www.owasp.org/index.php/OWASP_API_Security_Project
+[2]: ./0xd0-about-data.md
+[3]: https://github.com/OWASP/API-Security
+[4]: https://groups.google.com/a/owasp.org/forum/#!forum/api-security-project

editions/2019/de/0x04-release-notes.md

@@ -0,0 +1,23 @@
+# Erläuterungen zur Veröffentlichung
+
+Dies ist die erste Ausgabe der OWASP API Security Top 10, die regelmäßig, alle drei 
+oder vier Jahre, aktualisiert werden soll.
+
+Im Gegensatz zu dieser Version wollen wir in zukünftigen Versionen einen öffentlichen Aufruf zur Datenerhebung veröffentlichen,
+und die Sicherheitsbranche in unsere Initiative miteinbeziehen. In dem Kapitel [Methodik und Daten][1]
+finden Sie weitere Einzelheiten darüber, wie diese Version erstellt wurde. Detaillierte 
+Informationen zu den Sicherheitsrisiken finden Sie im Kapitel [Sicherheitsrisiken für APIs][2].
+
+Es ist wichtig zu verstehen, dass sich in den letzten Jahren die Architektur von 
+Anwendungen grundsätzlich verändert hat. Derzeit spielen APIs eine sehr wichtige Rolle 
+in dieser neuen Infrastruktur aus Microservices, Single Page Applications (SPAs),
+mobilen Anwendungen und IoT-Systemen.
+
+Die OWASP API Security Top 10 war eine notwendige Maßnahme, um das Bewusstsein für
+moderne API-Sicherheitsprobleme zu schaffen. Sie war nur möglich durch den großen Einsatz von
+zahlreichen ehrenamtlichen Helfern, welche alle im Abschnitt [Danksagungen][3] aufgeführt sind.
+Vielen Dank!
+
+[1]: ./0xd0-about-data.md
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd1-acknowledgments.md

editions/2019/de/0x10-api-security-risks.md

@@ -0,0 +1,41 @@
+# Sicherheitsrisiken für APIs
+
+Zur Durchführung der Risikoanalyse wurde die [OWASP Risk Rating Methodology][1] verwendet.
+
+Die nachstehende Tabelle fasst die mit der Risikobewertung verbundene Terminologie zusammen.
+
+| Bedrohungsakteure | Ausnutzbarkeit | Schwachstellenprävalenz | Schwachstellendetektierbarkeit | Technische Auswirkungen | Geschäftsauswirkungen |
+| :-: | :-: | :-: | :-: | :-: | :-: |
+| API-spezifisch | Leicht: **3** | Weit verbreitet **3** | Leicht **3** | Schwer **3** | Unternehmensspezifisch |
+| API-spezifisch | Durchschnittlich **2** | Häufig **2** | Durchschnittlich **2** | Mäßig **2** | Unternehmensspezifisch |
+| API-spezifisch | Schwer **1** | Schwer **1** | Schwer **1** | Leicht **1** | Unternehmensspezifisch |
+
+**Anmerkung**: Bei diesem Ansatz wird die Wahrscheinlichkeit des Bedrohungserregers nicht berücksichtigt. Er berücksichtigt auch keine der verschiedenen technischen Details, die mit Ihrer speziellen Anwendung verbunden sind. Jeder dieser Faktoren kann die Gesamtwahrscheinlichkeit, dass ein Angreifer eine bestimmte Schwachstelle findet und ausnutzt beeinflussen. Diese Bewertung berücksichtigt nicht die tatsächlichen Auswirkungen auf Ihr
+Unternehmen. Ihr Unternehmen muss entscheiden, wie viele Sicherheitsrisiken durch
+Anwendungen und APIs das Unternehmen bereit ist, angesichts der Unternehmenskultur, Branche und regulatorischem Umfelds zu akzeptieren. Der Zweck der OWASP API Security Top
+10 ist es nicht, diese Risikoanalyse für Sie durchzuführen.
+
+## Referenzen
+
+### OWASP
+
+* [OWASP Risk Rating Methodology][1]
+* [Article on Threat/Risk Modeling][2]
+
+### External
+
+* [ISO 31000: Risk Management Std][3]
+* [ISO 27001: ISMS][4]
+* [NIST Cyber Framework (US)][5]
+* [ASD Strategic Mitigations (AU)][6]
+* [NIST CVSS 3.0][7]
+* [Microsoft Threat Modeling Tool][8]
+
+[1]: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
+[2]: https://www.owasp.org/index.php/Threat_Risk_Modeling
+[3]: https://www.iso.org/iso-31000-risk-management.html
+[4]: https://www.iso.org/isoiec-27001-information-security.html
+[5]: https://www.nist.gov/cyberframework
+[6]: https://www.asd.gov.au/infosec/mitigationstrategies.htm
+[7]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
+[8]: https://www.microsoft.com/en-us/download/details.aspx?id=49168

editions/2019/de/0x11-t10.md

@@ -0,0 +1,14 @@
+# OWASP Top 10 API Security Risks – 2019
+
+| Risko | Beschreibung |
+| ----- | ------------ |
+| API1:2019 - Broken Object Level Authorization | APIs neigen dazu, Endpunkte offenzulegen, die Objektidentifikatoren verarbeiten, was eine breite Angriffsfläche auf Zugriffskontrolle auf Objektebene schafft. Berechtigungsprüfungen auf Objektebene sollten in jeder Funktion berücksichtigt werden, die auf eine Datenquelle zugreift, die eine Eingabe des Benutzers verwendet. |
+| API2:2019 - Broken User Authentication | Authentifizierungsmechanismen sind oft falsch implementiert, sodass Angreifer Authentifizierungstoken kompromittieren oder Implementierungsfehler ausnutzen können, um vorübergehend oder dauerhaft die Identität anderer Benutzer anzunehmen. Durch die Beeinträchtigung der Fähigkeit des Systems, den Client / Benutzer zu identifizieren, wird die API-Sicherheit insgesamt gefährdet. |
+| API3:2019 - Excessive Data Exposure | Mit Blick auf generische Implementierungen neigen Entwickler dazu, alle Objekteigenschaften freizugeben, ohne deren individuelle Empfindlichkeit zu berücksichtigen, und sich darauf zu verlassen, dass die Clients die Datenfilterung durchführen, bevor sie dem Benutzer angezeigt werden. |
+| API4:2019 - Lack of Resources & Rate Limiting | Oftmals gibt es bei APIs keine Beschränkungen für die Größe oder Anzahl der Ressourcen, die vom Client/Nutzer angefordert werden können. Dies kann sich nicht nur auf die Leistung des API-Servers auswirken und zu Denial of Service (DoS) führen, sondern öffnet auch die Tür für Authentifizierungs-Angriffe wie Brute Force. |
+| API5:2019 - Broken Function Level Authorization | Komplexe Zugriffskontrollrichtlinien mit unterschiedlichen Hierarchien, Gruppen und Rollen sowie eine unklare Trennung zwischen administrativen und regulären Funktionen führen häufig zu Sicherheitslücken in der Autorisierung. Unter Ausnutzung dieser Schwachstellen können Angreifer Zugriff auf die Ressourcen anderer Benutzer und/oder administrative Funktionen erlangen. |
+| API6:2019 - Mass Assignment | Das Verbinden von vom Client bereitgestellten Daten (z.B. JSON) an Datenmodelle ohne ordnungsgemäße Filterung der Eigenschaften auf der Grundlage einer Whitelist führt in der Regel zu Mass Assignment. Das Erraten von Objekteigenschaften, das Erforschen anderer API-Endpunkte, das Lesen der Dokumentation oder die Bereitstellung zusätzlicher Objekteigenschaften in Daten von Anfragen ermöglicht es Angreifern, Objekteigenschaften zu verändern, die sie nicht verändern dürfen. |
+| API7:2019 - Security Misconfiguration | Sicherheitsfehlkonfigurationen sind häufig das Ergebnis unsicherer Standardkonfigurationen, unvollständiger oder Ad-hoc-Konfigurationen, offener Cloud-Speicher, falsch konfigurierter HTTP-Header, unnötiger HTTP-Methoden, permissiver Cross-Origin-Resource-Sharing (CORS) und ausführlicher Fehlermeldungen mit sensiblen Informationen. |
+| API8:2019 - Injection | Injection-Fehler, wie SQL, NoSQL, Command Injection usw., treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Befehls oder einer Abfrage an einen Interpreter gesendet werden. Die bösartigen Daten des Angreifers können den Interpreter dazu verleiten, unbeabsichtigte Befehle auszuführen oder auf Daten zuzugreifen, ohne dazu berechtigt zu sein. |
+| API9:2019 - Improper Assets Management | APIs neigen dazu, mehr Endpunkte freizugeben als herkömmliche Webanwendungen, was eine ordnungsgemäße und aktualisierte Dokumentation sehr wichtig macht. Eine ordnungsgemäße Inventarisierung der Hosts und der bereitgestellten API-Versionen spielt ebenfalls eine wichtige Rolle, um Probleme wie veraltete API-Versionen und offengelegte Debug-Endpunkten zu entschärfen. |
+| API10:2019 - Insufficient Logging & Monitoring | Unzureichende Protokollierung und Überwachung in Verbindung mit einer fehlenden oder unwirksamen Integration in die Reaktion auf Vorfälle (Incidents Response) ermöglichen es Angreifern, weitere Systeme anzugreifen, die Persistenz aufrechtzuerhalten und auf weitere Systeme überzugehen, um Daten zu manipulieren, zu extrahieren oder zu zerstören. Die meisten Studien zu Breaches (Cyber Einbruch) zeigen, dass die Zeit bis zur Entdeckung eines Breaches mehr als 200 Tage beträgt und in der Regel eher von externen Parteien als von internen Prozessen oder der internen Überwachung entdeckt werden. |