Merge branch 'release/2.7.0'

VERSION

@@ -1 +1 @@
-2.6.0
+2.7.0

editions/2023/mkdocs.yml

@@ -11,3 +11,5 @@ extra:
       lang: fr
     - name: Persian
       lang: fa
+    - name: Português (Portugal)
+      lang: pt-pt

editions/2023/pt-pt/0x00-header.md

@@ -0,0 +1,14 @@
+---
+title: ''
+description: OWASP API Security Top 10 2023
+---
+
+![OWASP LOGO](images/cover.jpg)
+
+| | | |
+| - | - | - |
+| https://owasp.org | Distribuído ao abrigo da licença [Creative Commons Attribution-ShareAlike 4.0 International License][1] | ![Creative Commons License Logo](images/front-cc.png) |
+
+[1]: http://creativecommons.org/licenses/by-sa/4.0/
+
+

editions/2023/pt-pt/0x00-notice.md

@@ -0,0 +1,14 @@
+# Nota
+
+Esta é a versão de texto do OWASP API Security Top 10, usada como fonte para 
+quaisquer versões oficiais deste documento como por exemplo o website.
+
+Contribuições para o projeto tais como comentários, correções ou traduções devem
+ser feitas aqui. Para mais detalhes sobre [Como Contribuir][1], por favor
+consulte a secção [CONTRIBUTING.md][1].
+
+* Erez Yallon
+* Inon Shkedy
+* Paulo Silva
+
+[1]: ../../../CONTRIBUTING.md

editions/2023/pt-pt/0x00-toc.md

@@ -0,0 +1,23 @@
+# Tabela de Conteúdos
+
+* [Tabela de Conteúdos](0x00-toc.md)
+* [Sobre a OWASP](0x01-about-owasp.md)
+* [Prefácio](0x02-foreword.md)
+* [Introdução](0x03-introduction.md)
+* [Notas da Versão](0x04-release-notes.md)
+* [Riscos de Segurança em APIs](0x10-api-security-risks.md)
+* [OWASP Top 10 API Security Risks – 2023](0x11-t10.md)
+* [API1:2023 Broken Object Level Authorization](0xa1-broken-object-level-authorization.md)
+* [API2:2023 Broken Authentication](0xa2-broken-authentication.md)
+* [API3:2023 Broken Object Property Level Authorization](0xa3-broken-object-property-level-authorization.md)
+* [API4:2023 Unrestricted Resource Consumption](0xa4-unrestricted-resource-consumption.md)
+* [API5:2023 Broken Function Level Authorization](0xa5-broken-function-level-authorization.md)
+* [API6:2023 Unrestricted Access to Sensitive Business Flows](0xa6-unrestricted-access-to-sensitive-business-flows.md)
+* [API7:2023 Server Side Request Forgery](0xa7-server-side-request-forgery.md)
+* [API8:2023 Security Misconfiguration](0xa8-security-misconfiguration.md)
+* [API9:2023 Improper Inventory Management](0xa9-improper-inventory-management.md)
+* [API10:2023 Unsafe Consumption of APIs](0xaa-unsafe-consumption-of-apis.md)
+* [O Que Se Segue Para Programadores](0xb0-next-devs.md)
+* [O que Se Segue Para DevSecOps](0xb1-next-devsecops.md)
+* [Metodologia e Dados](0xd0-about-data.md)
+* [Agradecimentos](0xd1-acknowledgments.md)

editions/2023/pt-pt/0x01-about-owasp.md

@@ -0,0 +1,62 @@
+# Sobre a OWASP
+
+Open Worldwide Application Security Project (OWASP) é uma comunidade aberta que
+se dedica a ajudar as organizações a desenvolver, adquirir e manter aplicações e
+APIs confiáveis.
+
+A OWASP disponibiliza de forma livre e aberta:
+
+* Ferramentas e normas de segurança aplicacional.
+* Livros completos sobre testes de segurança aplicacional, desenvolvimento
+  de código seguro e revisão de código focada em segurança.
+* Apresentações e [vídeos][1].
+* [_Cheat Sheets_][2] sobre assuntos diversos.
+* Controlos e bibliotecas de segurança _standard_.
+* [Comunidades locais espalhadas por todo o mundo][3].
+* Investigação de ponta.
+* Múltiplas [conferências em todo o mundo][4].
+* [Listas de discussão][5] ([arquivo][6]).
+
+Mais informação em: [https://www.owasp.org][7].
+
+Todas as ferramentas, documentos, vídeos, apresentações e comunidades locais da
+OWASP são livres e abertos a todos os interessados em melhorar a segurança
+aplicacional.
+
+Aconselhamos uma abordagem à segurança aplicacional como sendo um problema de
+pessoas, processos e tecnologia, porque as abordagens mais eficazes à segurança
+aplicacional necessitam de melhorias em todas estas áreas.
+
+A OWASP é um novo tipo de organização. A nossa independência em relação a
+pressões comerciais permite-nos fornecer informação imparcial, prática e
+economicamente adequada sobre a segurança aplicacional.
+
+A OWASP não está afiliada com nenhuma empresa tecnológica, embora suportemos o
+uso informado de tecnologias de segurança comerciais. A OWASP produz muitos
+tipos de materiais de uma forma colaborativa, transparente e aberta.
+
+A fundação OWASP é uma entidade sem fins lucrativos o que assegura o sucesso a
+longo prazo do projeto. Quase todas as pessoas associadas à OWASP são
+voluntárias, incluindo a direção da OWASP, os líderes das comunidades locais, os
+líderes dos projetos e os seus membros. Suportamos investigação inovadora em
+segurança através de bolsas e infraestrutura.
+
+Junte-se a nós!
+
+## Direitos de Autor e Licença
+
+![license](images/license.png)
+
+Copyright © 2003-2023 The OWASP Foundation. Este documento é distribuído de
+acordo com a licença [Creative Commons Attribution Share-Alike 4.0 license][8]. 
+Para qualquer tipo de reutilização ou distribuição, deve deixar claro para 
+terceiros os termos da licença deste trabalho.
+
+[1]: https://www.youtube.com/user/OWASPGLOBAL
+[2]: https://cheatsheetseries.owasp.org/
+[3]: https://owasp.org/chapters/
+[4]: https://owasp.org/events/
+[5]: https://groups.google.com/a/owasp.org/forum/#!overview
+[6]: https://lists.owasp.org/mailman/listinfo
+[7]: https://www.owasp.org
+[8]: http://creativecommons.org/licenses/by-sa/4.0/

editions/2023/pt-pt/0x02-foreword.md

@@ -0,0 +1,47 @@
+# Prefácio
+
+As APIs - _Application Programming Interface_ têm um papel fundamental na
+inovação que observamos nos dias de hoje ao nível das aplicações. Desde a banca,
+retalho e transportes à Internet das Coisas (IoT), veículos autónomos e _Smart
+Cities_, as APIs são hoje um elemento crítico nas aplicações móveis, _Software
+as a Service_ (SaaS) e aplicações web, sejam elas destinadas ao público em
+geral, parceiros de negócio ou para uso interno das organizações.
+
+Por definição as APIs expõem lógica aplicacional e dados sensíveis tais como
+informação pessoal (PII - _Personally Identifiable Information_), motivo pelo
+qual se têm vindo a tornar um alvo para os atacantes. Se não conseguirmos
+garantir a segurança das APIs será impossível continuar a inovar a um ritmo
+acelerado.
+
+Apesar de continuar a fazer sentindo manter uma lista dos 10 principais
+problemas de segurança em aplicações web, devido à natureza particular das APIs,
+é importante haver também uma tal lista específica para APIs.
+A segurança das APIs foca-se nas estratégias e soluções para compreender e
+mitigar as vulnerabilidades e risco de segurança associado às APIs.
+
+Se estiver familiarizado com o projeto [OWASP Top 10][1] com certeza notará as
+semelhanças entre os documentos: elas são propositadas para facilitar a leitura
+e adoção deste. Se por outro lado for a primeira vez que tem contacto com um
+documento da série OWASP Top 10, sugerimos que comece por ler as secções [Riscos
+de Segurança em APIs][2] e [Metodologia e Dados][3] antes de aprofundar a lista
+dos dez problemas de segurança mais críticos em APIs.
+
+Pode contribuir para o OWASP API Security Top 10 com perguntas, comentários e
+ideias no repositório do projeto no GitHub:
+
+* https://owasp.org/www-project-api-security/
+* https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
+
+Pode ainda encontrar o OWASP API Security Top 10 em:
+
+* https://owasp.org/www-project-api-security/
+* https://github.com/OWASP/API-Security
+
+Gostaríamos de agradecer a todos os que participaram neste projeto, tornando-o
+possível com o seu empenho e contribuições. A lista de contribuidores
+encontra-se na secção [Agradecimentos][4]. Obrigado!
+
+[1]: https://owasp.org/www-project-top-ten/
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd0-about-data.md
+[4]: ./0xd1-acknowledgments.md

editions/2023/pt-pt/0x03-introduction.md

@@ -0,0 +1,60 @@
+# Introdução
+
+## Bem-vindo ao OWASP API Security Top 10 - 2023!
+
+Bem-vindo à segunda edição do OWASP API Security Top 10!
+
+Este documento de consciencialização foi publicado pela primeira vez em 2019. 
+Desde então, a indústria de segurança das APIs cresceu e ganhou maturidade. Nós
+acreditamos fortemente que este trabalho contribuiu positivamente para tal,
+devido a ter sido adotado rapidamente como referência na indústria.
+
+As APIs desempenham um papel muito importante na arquitetura das aplicações 
+modernas. Devido à inovação ter um ritmo diferente do que a sensibilização
+para a segurança, nós acreditamos que é importante concentrarmo-nos nas
+falhas de segurança mais comuns das APIs.
+
+O objetivo principal do OWASP API Security Top 10 é educar todos aqueles
+envolvidos no desenvolvimento e manutenção de APIs, como por exemplo,
+programadores, _designers_, arquitetos, gestores ou organizações. Pode saber
+mais sobre o projeto API Security visitando a [página do projeto][1].
+
+Se não estiver familiarizado com a série OWASP Top 10, nós recomendamos que veja
+pelo menos os seguintes projetos Top 10:
+
+* [OWASP Cloud-Native Application Security Top 10][2]
+* [OWASP Desktop App Security Top 10][3]
+* [OWASP Docker Top 10][4]
+* [OWASP Low-Code/No-Code Top 10][5]
+* [OWASP Machine Learning Security Top Ten][6]
+* [OWASP Mobile Top 10][7]
+* [OWASP TOP 10][8]
+* [OWASP Top 10 CI/CD Security Risks][9]
+* [OWASP Top 10 Client-Side Security Risks][10]
+* [OWASP Top 10 Privacy Risks][11]
+* [OWASP Serverless Top 10][12]
+
+Nenhum destes projetos substitui qualquer outro: se está a trabalhar numa
+aplicação móvel alimentada por uma API, então é melhor ler os dois documentos 
+Top 10 correspondentes. O mesmo é válido se estiver a trabalhar num website ou 
+numa aplicação desktop alimentados por APIs.
+
+Na secção [Metodologia e Dados][13] pode ler mais sobre como esta edição foi 
+criada. Por agora encorajamos todos a contribuírem com perguntas, comentários e 
+ideias no nosso [repositório no GitHub][14] ou através da [_Mailing list_][15].
+
+[1]: https://owasp.org/www-project-api-security/
+[2]: https://owasp.org/www-project-cloud-native-application-security-top-10/
+[3]: https://owasp.org/www-project-desktop-app-security-top-10/
+[4]: https://owasp.org/www-project-docker-top-10/
+[5]: https://owasp.org/www-project-top-10-low-code-no-code-security-risks/
+[6]: https://owasp.org/www-project-machine-learning-security-top-10/
+[7]: https://owasp.org/www-project-mobile-top-10/
+[8]: https://owasp.org/www-project-top-ten/
+[9]: https://owasp.org/www-project-top-10-ci-cd-security-risks/
+[10]: https://owasp.org/www-project-top-10-client-side-security-risks/
+[11]: https://owasp.org/www-project-top-10-privacy-risks/
+[12]: https://owasp.org/www-project-serverless-top-10/
+[13]: ./0xd0-about-data.md
+[14]: https://github.com/OWASP/API-Security
+[15]: https://groups.google.com/a/owasp.org/forum/#!forum/api-security-project

editions/2023/pt-pt/0x04-release-notes.md

@@ -0,0 +1,49 @@
+# Notas da Versão
+
+Esta é a segunda edição do OWASP API Security Top 10, exatamente quatro anos
+após a primeira versão. Muito mudou no panorama das API (a nível de 
+segurança). O tráfego das API aumentou a um ritmo acelerado, alguns protocolos 
+de API ganharam muito mais popularidade, surgiram muitos novos vendedores/
+soluções de segurança para API e, claro, os atacantes desenvolveram novas 
+capacidades e técnicas para comprometer APIs. Já era hora de atualizar a lista 
+dos dez riscos de segurança de API mais críticos.
+
+Com uma indústria de segurança de API mais madura, pela primeira vez, houve [um 
+apelo público para dados][1]. Infelizmente, não foram fornecidos dados, mas 
+com base na experiência da equipa do projeto, numa análise cuidadosa por 
+especialistas em segurança de API e no feedback da comunidade sobre a versão 
+preliminar, construímos esta nova lista. Na [secção Metodologia e Dados][2], 
+encontrará mais detalhes sobre como esta versão foi elaborada. Para mais 
+detalhes sobre os riscos de segurança, consulte a [secção Riscos de Segurança 
+em APIs][3].
+
+O OWASP API Security Top 10 2023 é um documento de sensibilização prospetivo 
+para uma indústria de ritmo acelerado. Não substitui outros TOP 10. Nesta 
+edição:
+
+* Combinámos *Excessive Data Exposure* e *Mass Assignment*, focando na causa
+  comum: falhas na validação de autorização ao nível das propriedades do objeto.
+* Damos mais ênfase ao consumo de recursos, em vez de nos concentrarmos na 
+  rapidez com que são esgotados.
+* Criámos uma nova categoria "*Unrestricted Access to Sensitive Business Flows*"
+  para abordar novas ameaças, incluindo a maioria daquelas que podem ser 
+  mitigadas através de *rate limiting*.
+* Adicionámos "*Unsafe Consumption of APIs*" para abordar algo que começámos a
+  observar: os atacantes começaram a procurar serviços integrados de um alvo 
+  para os comprometer, em vez de atingirem diretamente as APIs do seu alvo. Este
+  é o momento certo para começar a sensibilizar sobre este risco crescente.
+
+As APIs desempenham um papel cada vez mais importante na arquitetura moderna de 
+microsserviços, *Single Page Applications* (SPAs), aplicações móveis, Internet 
+das Coisas (IoT), etc. O OWASP API Security Top 10 é um esforço necessário para 
+criar sensibilização sobre os problemas de segurança modernos das APIs.
+
+Esta atualização só foi possível devido ao grande esforço de vários voluntários, 
+listados na secção de [Agradecimentos][4].
+
+Obrigado!
+
+[1]: https://owasp.org/www-project-api-security/announcements/cfd/2022/
+[2]: ./0xd0-about-data.md
+[3]: ./0x10-api-security-risks.md
+[4]: ./0xd1-acknowledgments.md

editions/2023/pt-pt/0x10-api-security-risks.md

@@ -0,0 +1,49 @@
+# Riscos de Segurança em APIs
+
+Para a análise de risco usámos a [metodologia de avaliação de risco da
+OWASP][1].
+
+A tabela seguinte resume a terminologia associada à pontuação correspondente ao
+nível de risco.
+
+| Agentes Ameaça | Abuso | Prevalência | Deteção | Impacto Técnico | Impacto Negócio |
+| :-: | :-: | :-: | :-: | :-: | :-: |
+| Específico da API | Fácil **3** | Predominante **3** | Fácil **3** | Grave **3** | Específico do Negócio |
+| Específico da API | Moderado **2** | Comum **2** | Moderado **2** | Moderado **2** | Específico do Negócio |
+| Específico da API | Difícil **1** | Incomum **1** | Difícil **1** | Reduzido **1** | Específico do Negócio |
+
+**Nota**: Esta abordagem não toma em consideração a probabilidade do Agente de
+Ameaça. Também não toma em consideração nenhum detalhe técnico associado à sua
+API. Qualquer um destes fatores podem ter impacto significativo na probabilidade
+de um atacante encontrar e abusar duma falha de segurança particular. Estes
+indicadores não tomam em consideração o impacto atual no seu negócio. Terá de
+ser a sua organização a decidir qual o nível de risco para a segurança das suas
+aplicações e APIs que está disposta a aceitar, baseado na cultura, indústria e
+regulação a que está sujeita. O propósito do OWASP API Security Top 10 não é
+fazer essa análise por si. Uma vez que esta edição não é baseada em dados, a 
+prevalência resulta de um consenso entre os membros da equipa.
+
+## Referências
+
+### OWASP
+
+* [OWASP Risk Rating Methodology][1]
+* [Article on Threat/Risk Modeling][2]
+
+### Externas
+
+* [ISO 31000: Risk Management Std][3]
+* [ISO 27001: ISMS][4]
+* [NIST Cyber Framework (US)][5]
+* [ASD Strategic Mitigations (AU)][6]
+* [NIST CVSS 3.0][7]
+* [Microsoft Threat Modeling Tool][8]
+
+[1]: https://owasp.org/www-project-risk-assessment-framework/
+[2]: https://owasp.org/www-community/Threat_Modeling
+[3]: https://www.iso.org/iso-31000-risk-management.html
+[4]: https://www.iso.org/isoiec-27001-information-security.html
+[5]: https://www.nist.gov/cyberframework
+[6]: https://www.asd.gov.au/infosec/mitigationstrategies.htm
+[7]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
+[8]: https://www.microsoft.com/en-us/download/details.aspx?id=49168