Merge branch 'develop' into translation/pt-pt

Author: PauloASilva

VERSION

@@ -1 +1 @@
-2.3.1
+2.6.0

editions/2019/de/0xa9-improper-assets-management.md

@@ -10,11 +10,11 @@
 Die API könnte verwundbar sein, wenn:
 
 * Der Zweck eines API-Hosts unklar ist und es keine klaren Antworten auf folgende Fragen gibt:
-  * In welcher Umgebung wird die API ausgeführt (z. B. Produktion, Staging, Test, Entwicklung)?
-  * Wer sollte Netzwerkzugriff auf die API haben (z. B. öffentlich, intern, Partner)?
-  * Welche API-Version wird ausgeführt?
-  * Welche Daten werden von der API erfasst und verarbeitet (z. B. PII)?
-  * Wie verläuft der Datenfluss?
+    * In welcher Umgebung wird die API ausgeführt (z. B. Produktion, Staging, Test, Entwicklung)?
+    * Wer sollte Netzwerkzugriff auf die API haben (z. B. öffentlich, intern, Partner)?
+    * Welche API-Version wird ausgeführt?
+    * Welche Daten werden von der API erfasst und verarbeitet (z. B. PII)?
+    * Wie verläuft der Datenfluss?
 * Es gibt keine Dokumentation oder die vorhandene Dokumentation ist veraltet.
 * Es gibt keinen Plan zur Ausmusterung jeder API-Version.
 * Die Dienstübericht der Hosts fehlt oder ist veraltet.

editions/2019/el-gr/0xa9-improper-assets-management.md

@@ -10,11 +10,11 @@
 Το API ίσως είναι ευάλωτο όταν:
 
 * Ο σκοπός ενός κεντρικού υπολογιστή API είναι ασαφής και δεν υπάρχουν σαφείς απαντήσεις στις ακόλουθες ερωτήσεις:
-  * Σε ποιο περιβάλλον εκτελείται το API (π.χ. παραγωγή (production), σταδιοποίηση (staging), δοκιμή (test), ανάπτυξη (development));
-  * Ποιος πρέπει να έχει δικτυακή πρόσβαση στο API (π.χ. δημόσια πρόσβαση, εσωτερική πρόσβαση, πρόσβαση σε συνεργάτες);
-  * Ποια έκδοση API εκτελείται;
-  * Ποια δεδομένα συλλέγονται και επεξεργάζονται από το API (π.χ. Προσωπικά αναγνωρίσιμα στοιχεία (PII));
-  * Ποια είναι η ροή των δεδομένων;
+    * Σε ποιο περιβάλλον εκτελείται το API (π.χ. παραγωγή (production), σταδιοποίηση (staging), δοκιμή (test), ανάπτυξη (development));
+    * Ποιος πρέπει να έχει δικτυακή πρόσβαση στο API (π.χ. δημόσια πρόσβαση, εσωτερική πρόσβαση, πρόσβαση σε συνεργάτες);
+    * Ποια έκδοση API εκτελείται;
+    * Ποια δεδομένα συλλέγονται και επεξεργάζονται από το API (π.χ. Προσωπικά αναγνωρίσιμα στοιχεία (PII));
+    * Ποια είναι η ροή των δεδομένων;
 * Δεν υπάρχει τεκμηρίωση (documentation) ή η υπάρχουσα τεκμηρίωση δεν έχει ενημερωθεί.
 * Δεν υπάρχει σχέδιο απόσυρσης (retirement plan) για κάθε έκδοση API.
 * Δεν υπάρχει αρχείο καταγραφής όλων των hosts (hosts inventory) ή αν υπάρχει δεν είναι ενημερωμένο.

editions/2019/en/0xa9-improper-assets-management.md

@@ -11,12 +11,13 @@ The API might be vulnerable if:
 
 * The purpose of an API host is unclear, and there are no explicit answers to
   the following questions:
-  * Which environment is the API running in (e.g., production, staging, test,
-    development)?
-  * Who should have network access to the API (e.g., public, internal, partners)?
-  * Which API version is running?
-  * What data is gathered and processed by the API (e.g., PII)?
-  * What's the data flow?
+    * Which environment is the API running in (e.g., production, staging, test,
+      development)?
+    * Who should have network access to the API (e.g., public, internal,
+      partners)?
+    * Which API version is running?
+    * What data is gathered and processed by the API (e.g., PII)?
+    * What's the data flow?
 * There is no documentation, or the existing documentation is not updated.
 * There is no retirement plan for each API version.
 * Hosts inventory is missing or outdated.

editions/2019/fa/0xa9-improper-asset-management.md

@@ -10,11 +10,11 @@
 در صورتی که یکی ازشرایط زیر وجود داشته باشد، API ‌آسیب‌پذیر خواهد بود:
 
 * اهدف از وجود API نامشخص بوده و پاسخی برای سوال‌های زیر وجود نداشته باشد:
- - در چه محیطی API در حال اجرا است (مثلا محیط تست، توسعه، اجرا  یا عملیات )؟
- - چه کسانی بایستی دسترسی شبکه‌ای به API داشته باشند (همه، افراد دخیل یا شرکا)؟
- - چه نسخه‌ای از API در حال اجرا است؟
- - چه داده‌ای (نظیر PII) توسط API در حال جمع آوری و پردازش است؟
- - جریان داده به چه صورت است؟
+   - در چه محیطی API در حال اجرا است (مثلا محیط تست، توسعه، اجرا  یا عملیات )؟
+   - چه کسانی بایستی دسترسی شبکه‌ای به API داشته باشند (همه، افراد دخیل یا شرکا)؟
+   - چه نسخه‌ای از API در حال اجرا است؟
+   - چه داده‌ای (نظیر PII) توسط API در حال جمع آوری و پردازش است؟
+   - جریان داده به چه صورت است؟
 * مستندی برای API وجود ندارد یا بروز نیست.
 * برنام‌ ای برای بازنشستگی و از دور خارج شدن هریک از نسخه‌های API  وجود ندارد.
 * فهرست میزبان‌ها  وجود ندارد یا قدیمی است.

editions/2019/fr/0xa9-improper-assets-management.md

@@ -11,13 +11,14 @@ L'API peut être vulnérable si :
 
 * L'objectif de l'hôte de l'API n'est pas clair, et il n'y a pas de réponses
   explicites aux questions suivantes :
-  * Dans quel environment tourne l'API (ex : production, staging, test,
-    développement) ?
-  * Qui doit avoir un accès réseau à l'API (ex : public, interne, partenaires) ?
-  * Quelle version de l'API tourne ?
-  * Quelles données sont collectées et traitées par l'API (ex : données
-    personnelles) ?
-  * Quel est le flux des données ?
+    * Dans quel environment tourne l'API (ex : production, staging, test,
+      développement) ?
+    * Qui doit avoir un accès réseau à l'API (ex : public, interne,
+      partenaires) ?
+    * Quelle version de l'API tourne ?
+    * Quelles données sont collectées et traitées par l'API (ex : données
+      personnelles) ?
+    * Quel est le flux des données ?
 * Il n'y a pas de documentation, ou la documentation existante n'est pas mise
   à jour.
 * Il n'y a pas de plan pour le retrait / la désactivation (des points d'accès

editions/2019/id/0x00-header.md

@@ -0,0 +1,20 @@
+---
+title: ''
+---
+
+![OWASP LOGO](./images/owasp-logo.png)
+
+# OWASP API Security Top 10 2019
+
+Sepuluh Risiko Keamanan API yang Paling Kritis
+
+29 Mei 2019
+
+![WASP Logo URL TBA](./images/front-wasp.png)
+
+| | | |
+| - | - | - | 
+| https://owasp.org | Karya ini dilisensikan di bawah [Creative Commons Attribution-ShareAlike 4.0 International License][1] | ![Creative Commons License Logo](images/front-cc.png) |
+
+[1]: http://creativecommons.org/licenses/by-sa/4.0/
+

editions/2019/id/0x00-notice.md

@@ -0,0 +1,11 @@
+# Pemberitahuan 
+
+Ini adalah versi teks dari OWASP API Security Top 10, digunakan sebagai sumber untuk versi resmi yang didistribusikan sebagai Portable Document Format (PDF).
+
+Kontribusi terhadap proyek seperti komentar, koreksi, atau terjemahan harus dilakukan di sini. Untuk detail tentang [Cara Berkontribusi][1], harap mengacu pada [CONTRIBUTING.md][1].
+
+* Erez Yallon
+* Inon Shkedy
+
+[1]: ../../../CONTRIBUTING.md
+

editions/2019/id/0x00-toc.md

@@ -0,0 +1,23 @@
+# Daftar Isi
+
+* [Daftar Isi](0x00-toc.md)
+* [Tentang OWASP](0x01-about-owasp.md)
+* [Kata Pengantar](0x02-foreword.md)
+* [Pengenalan](0x03-introduction.md)
+* [Catatan Rilis](0x04-release-notes.md)
+* [Ancaman Keamanan API](0x10-api-security-risks.md)
+* [OWASP Top 10 Ancaman Keamanan API – 2019](0x11-t10.md)
+* [API1:2019 Otorisasi Objek Rusak](0xa1-broken-object-level-authorization.md)
+* [API2:2019 Otentikasi Pengguna Rusak](0xa2-broken-user-authentication.md)
+* [API3:2019 Paparan Data Berlebihan](0xa3-excessive-data-exposure.md)
+* [API4:2019 Kurangnya Sumber Daya & Pembatasan Tingkat](0xa4-lack-of-resources-and-rate-limiting.md)
+* [API5:2019 Otorisasi Tingkat Fungsi Rusak](0xa5-broken-function-level-authorization.md)
+* [API6:2019 Penugasan Massal](0xa6-mass-assignment.md)
+* [API7:2019 Konfigurasi Keamanan yang Salah](0xa7-security-misconfiguration.md)
+* [API8:2019 Injeksi](0xa8-injection.md)
+* [API9:2019 Pengelolaan Aset yang Tidak Tepat](0xa9-improper-assets-management.md)
+* [API10:2019 Pencatatan & Pemantauan yang Kurang Memadai](0xaa-insufficient-logging-monitoring.md)
+* [Apa yang Selanjutnya untuk Pengembang](0xb0-next-devs.md)
+* [Apa yang Selanjutnya untuk DevSecOps](0xb1-next-devsecops.md)
+* [Metodologi dan Data](0xd0-about-data.md)
+* [Ucapan Terima Kasih](0xd1-acknowledgments.md)

editions/2019/id/0x01-about-owasp.md

@@ -0,0 +1,56 @@
+# Tentang OWASP 
+
+Open Web Application Security Project (OWASP) adalah komunitas terbuka yang didedikasikan
+untuk memungkinkan organisasi mengembangkan, membeli, dan memelihara aplikasi dan
+API yang dapat dipercaya.
+
+Di OWASP, Anda akan menemukan yang gratis dan terbuka:
+
+* Alat dan standar keamanan aplikasi.
+* Buku lengkap tentang pengujian keamanan aplikasi, pengembangan kode yang aman, dan 
+  tinjauan kode yang aman.
+* Presentasi dan [video][1].
+* [Lembar cheats][2] tentang banyak topik umum. 
+* Kontrol keamanan dan pustaka standar.
+* [Chapter lokal di seluruh dunia][3].
+* Penelitian mutakhir.
+* [Konferensi luas di seluruh dunia][4].
+* [Mailing list][5].
+
+Pelajari lebih lanjut di: [https://www.owasp.org][6].
+
+Semua alat OWASP, dokumen, video, presentasi, dan bab bebas dan
+terbuka untuk siapa saja yang tertarik meningkatkan keamanan aplikasi.
+
+Kami menganjurkan pendekatan keamanan aplikasi sebagai masalah orang, proses, dan
+teknologi, karena pendekatan keamanan aplikasi paling efektif memerlukan peningkatan di bidang ini.
+
+OWASP adalah jenis organisasi baru. Kebebasan kami dari tekanan komersial
+memungkinkan kami untuk menyediakan informasi keamanan aplikasi yang tidak memihak, praktis, dan hemat biaya. 
+
+OWASP tidak berafiliasi dengan perusahaan teknologi mana pun, meskipun kami mendukung
+penggunaan teknologi keamanan komersial yang cerdas. OWASP memproduksi banyak jenis
+bahan dengan cara kolaboratif, transparan, dan terbuka.
+
+Yayasan OWASP adalah entitas nirlaba yang memastikan kesuksesan jangka panjang proyek.
+Hampir semua orang yang terkait dengan OWASP adalah relawan,
+termasuk dewan OWASP, pemimpin chapter, pemimpin proyek, dan anggota proyek. Kami mendukung 
+penelitian keamanan inovatif dengan hibah dan infrastruktur.
+
+Ayo bergabung dengan kami!
+
+## Hak Cipta dan Lisensi
+
+![lisensi](images/license.png)
+
+Hak Cipta © 2003-2019 Yayasan OWASP. Dokumen ini dirilis di bawah
+[Creative Commons Attribution Share-Alike 4.0 license][7]. Untuk penggunaan ulang atau
+distribusi, Anda harus menjelaskan kepada orang lain ketentuan lisensi karya ini. 
+
+[1]: https://www.youtube.com/user/OWASPGLOBAL
+[2]: https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series
+[3]: https://www.owasp.org/index.php/OWASP_Chapter
+[4]: https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference
+[5]: https://lists.owasp.org/mailman/listinfo
+[6]: https://www.owasp.org
+[7]: http://creativecommons.org/licenses/by-sa/4.0/

editions/2019/id/0x02-foreword.md

@@ -0,0 +1,39 @@
+# Kata Pengantar
+
+Elemen dasar inovasi di dunia aplikasi yang digerakkan saat ini adalah 
+Antarmuka Pemrograman Aplikasi (API). Dari bank, ritel, dan transportasi
+hingga IoT, kendaraan otonom, dan kota pintar, API merupakan bagian penting 
+dari aplikasi seluler, SaaS, dan web modern dan dapat ditemukan di aplikasi menghadap pelanggan, 
+menghadap mitra, dan internal.
+
+Karena sifatnya, API mengekspos logika aplikasi dan data sensitif seperti Informasi Pribadi (PII) dan karena itu, 
+API semakin menjadi target para penyerang. Tanpa API yang aman, inovasi cepat akan mustahil.
+
+Meskipun risiko keamanan web aplikasi yang lebih luas Top 10 masih masuk akal,
+karena sifat khusus mereka, daftar risiko keamanan API spesifik diperlukan.
+Keamanan API berfokus pada strategi dan solusi untuk memahami dan mengurangi 
+kerentanan dan risiko keamanan yang unik terkait dengan API.
+
+Jika Anda sudah familiar dengan [Proyek OWASP Top 10][1], maka Anda akan melihat
+kesamaan antara kedua dokumen: keduanya ditujukan untuk keterbacaan dan adopsi. Jika Anda baru mengenal 
+seri OWASP Top 10, mungkin lebih baik membaca bagian [Risiko Keamanan API][2] dan [Metodologi dan Data][3] 
+sebelum melompat ke daftar 10 besar.
+
+Anda dapat berkontribusi pada OWASP API Security Top 10 dengan pertanyaan, komentar,
+dan ide Anda di repositori proyek GitHub kami:
+
+* https://github.com/OWASP/API-Security/issues
+* https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
+
+Anda dapat menemukan OWASP API Security Top 10 di sini:
+
+* https://www.owasp.org/index.php/OWASP_API_Security_Project
+* https://github.com/OWASP/API-Security 
+
+Kami ingin berterima kasih kepada semua kontributor yang membuat proyek ini dimungkinkan dengan upaya dan kontribusi mereka. 
+Mereka semua tercantum di bagian [Ucapan Terima Kasih][4]. Terima kasih!
+
+[1]: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd0-about-data.md
+[4]: ./0xd1-acknowledgments.md

editions/2019/id/0x03-introduction.md

@@ -0,0 +1,16 @@
+# Pendahuluan
+
+## Selamat Datang di OWASP API Security Top 10 - 2019!
+
+Selamat datang di edisi pertama OWASP API Security Top 10. Jika Anda sudah akrab dengan seri OWASP Top 10, Anda akan melihat kesamaannya: tujuannya adalah mudah dibaca dan diadopsi. Jika tidak, pertimbangkan untuk mengunjungi [halaman wiki OWASP API Security Project][1], sebelum menggali lebih dalam tentang risiko keamanan API yang paling kritis.
+
+API memainkan peran yang sangat penting dalam arsitektur aplikasi modern. Karena penciptaan kesadaran keamanan dan inovasi memiliki tempo yang berbeda, penting untuk fokus pada kelemahan keamanan API yang umum.  
+
+Tujuan utama OWASP API Security Top 10 adalah untuk mendidik mereka yang terlibat dalam pengembangan dan pemeliharaan API, misalnya pengembang, desainer, arsitek, manajer, atau organisasi.
+
+Di bagian [Metodologi dan Data][2], Anda dapat membaca lebih lanjut tentang bagaimana edisi pertama ini dibuat. Di versi mendatang, kami ingin melibatkan industri keamanan, dengan panggilan data publik. Untuk saat ini, kami mendorong semua orang untuk berkontribusi dengan pertanyaan, komentar, dan ide di repositori [GitHub][3] atau [Mailing list][4] kami.
+
+[1]: https://www.owasp.org/index.php/OWASP_API_Security_Project
+[2]: ./0xd0-about-data.md
+[3]: https://github.com/OWASP/API-Security
+[4]: https://groups.google.com/a/owasp.org/forum/#!forum/api-security-project

editions/2019/id/0x04-release-notes.md

@@ -0,0 +1,13 @@
+# Catatan Rilis
+
+Ini adalah edisi OWASP API Security Top 10 pertama, yang direncanakan akan diperbarui secara berkala, setiap tiga atau empat tahun sekali.
+
+Tidak seperti versi ini, di versi mendatang, kami ingin melakukan panggilan data publik, melibatkan industri keamanan dalam upaya ini. Di bagian [Metodologi dan Data][1], Anda akan menemukan detail lebih lanjut tentang bagaimana versi ini dibangun. Untuk detail lebih lanjut tentang risiko keamanan, harap merujuk pada bagian [API Security Risks][2].
+
+Penting untuk menyadari bahwa selama beberapa tahun terakhir, arsitektur aplikasi telah berubah secara signifikan. Saat ini, API memainkan peran yang sangat penting dalam arsitektur baru ini dari mikroservis, Single Page Applications (SPAs), aplikasi seluler, IoT, dan lainnya.
+
+OWASP API Security Top 10 merupakan upaya yang dibutuhkan untuk menciptakan kesadaran tentang masalah keamanan API modern. Hanya mungkin karena upaya besar dari beberapa sukarelawan, semuanya terdaftar di bagian [Penghargaan][3]. Terima kasih!
+
+[1]: ./0xd0-about-data.md
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd1-acknowledgments.md

editions/2019/id/0x10-api-security-risks.md

@@ -0,0 +1,38 @@
+# Risiko Keamanan API
+
+[OWASP Risk Rating Methodology][1] digunakan untuk melakukan analisis risiko. 
+
+Tabel di bawah ini merangkum terminologi yang terkait dengan skor risiko.
+
+| Agen Ancaman | Dapat Dieksploitasi | Prevalensi Kelemahan | Dapat Dideteksi Kelemahan | Dampak Teknis | Dampak Bisnis |
+| :-: | :-: | :-: | :-: | :-: | :-: |
+| Khusus API | Mudah: **3** | Luas **3** | Mudah **3** | Parah **3** | Spesifik Bisnis |  
+| Khusus API | Rata-rata: **2** | Umum **2** | Rata-rata **2** | Sedang **2** | Spesifik Bisnis |
+| Khusus API | Sulit: **1** | Sulit **1** | Sulit **1** | Minor **1** | Spesifik Bisnis |
+
+**Catatan**: Pendekatan ini tidak memperhitungkan kemungkinan agen ancaman. Juga tidak memperhitungkan berbagai detail teknis yang terkait dengan aplikasi tertentu Anda. Faktor-faktor apa pun dapat secara signifikan mempengaruhi kemungkinan keseluruhan penyerang menemukan dan mengeksploitasi kerentanan tertentu. Peringkat ini tidak memperhitungkan dampak aktual pada bisnis Anda. Organisasi Anda harus memutuskan seberapa banyak risiko keamanan dari aplikasi dan API yang akan diterima organisasi mengingat budaya, industri, dan lingkungan peraturan Anda. Tujuan OWASP API Security Top 10 bukan untuk melakukan analisis risiko ini untuk Anda.
+
+## Referensi
+
+### OWASP
+
+* [OWASP Risk Rating Methodology][1]
+* [Article on Threat/Risk Modeling][2]
+
+### Eksternal
+
+* [ISO 31000: Risk Management Std][3]
+* [ISO 27001: ISMS][4]
+* [NIST Cyber Framework (US)][5]
+* [ASD Strategic Mitigations (AU)][6]
+* [NIST CVSS 3.0][7]
+* [Microsoft Threat Modeling Tool][8]
+
+[1]: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
+[2]: https://www.owasp.org/index.php/Threat_Risk_Modeling
+[3]: https://www.iso.org/iso-31000-risk-management.html
+[4]: https://www.iso.org/isoiec-27001-information-security.html
+[5]: https://www.nist.gov/cyberframework
+[6]: https://www.asd.gov.au/infosec/mitigationstrategies.htm
+[7]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
+[8]: https://www.microsoft.com/en-us/download/details.aspx?id=49168