Update 0x11-t10.md

Author: athanasiosem

2019/el-gr/0x11-t10.md

@@ -5,7 +5,7 @@ OWASP Τα Κορυφαία 10 Ρίσκα Ασφαλείας API – 2019
 | ---- | ----------- |
 | API1:2019 - Broken Object Level Authorization | Τα API τείνουν να εκθέτουν τελικά σημεία (endpoints) που χειρίζονται αναγνωριστικά αντικειμένων (object IDs), δημιουργώντας ένα ζήτημα ευρείας επιφάνειας επίθεσης επιπέδου ελέγχου πρόσβασης (wide attack surface Level Access Control issue). Οι έλεγχοι εξουσιοδότησης σε επίπεδο αντικειμένου (Object Level Authorization) θα πρέπει να λαμβάνονται υπόψη σε κάθε λειτουργία που έχει πρόσβαση σε δεδομένα χρησιμοποιώντας είσοδο από τον χρήστη. |
 | API2:2019 - Broken User Authentication | Οι μηχανισμοί ελέγχου ταυτότητας συχνά υλοποιούνται εσφαλμένα, επιτρέποντας στους εισβολείς να διακυβεύουν τα διακριτικά ελέγχου ταυτότητας ή να εκμεταλλεύονται ελαττώματα στην υλοποίηση της εφαρμογής για να προσποιούνται προσωρινά ή μόνιμα τις ταυτότητες άλλων χρηστών. Η διακυβευόμενη ικανότητα του συστήματος να αναγνωρίζει τον πελάτη/χρήστη, θέτει σε κίνδυνο την ασφάλεια των API συνολικά. |
-| API3:2019 - Excessive Data Exposure | Στοχεύοντας σε γενικευμένες υλοποιήσεις, οι προγραμματιστές τείνουν να εκθέτουν όλα τα δεδομένα/ιδιότητες των αντικειμένων χωρίς να λαμβάνουν υπόψη την ατομική τους ευαισθησία, βασιζόμαι ότι οι εφαρμογές-πελάτες θα εκτελέσουν το φιλτράρισμα δεδομένων πριν τα εμφανίσουν στον χρήστη. |
+| API3:2019 - Excessive Data Exposure | Στοχεύοντας σε γενικευμένες υλοποιήσεις, οι προγραμματιστές τείνουν να εκθέτουν όλα τα δεδομένα/ιδιότητες των αντικειμένων χωρίς να λαμβάνουν υπόψη την ατομική τους ευαισθησία, βασιζόμενοι ότι οι εφαρμογές-πελάτες θα εκτελέσουν το φιλτράρισμα δεδομένων πριν τα εμφανίσουν στον χρήστη. |
 | API4:2019 - Lack of Resources & Rate Limiting | Πολύ συχνά, τα API δεν επιβάλλουν περιορισμούς στο μέγεθος ή τον αριθμό των πόρων που μπορεί να ζητήσει ο πελάτης/χρήστης. Αυτό όχι μόνο μπορεί να επηρεάσει την απόδοση του διακομιστή API, οδηγώντας σε άρνηση υπηρεσίας (DoS), αλλά αφήνει επίσης ανοιχτή την πόρτα σε ελαττώματα ελέγχου ταυτότητας, όπως η ωμή βία (brute force). |
 | API5:2019 - Broken Function Level Authorization | Πολύπλοκες πολιτικές ελέγχου πρόσβασης με διαφορετικές ιεραρχίες, ομάδες και ρόλους, καθώς και έναν ασαφή διαχωρισμό μεταξύ διοικητικών και τακτικών λειτουργιών, τείνουν να οδηγούν σε ελαττώματα εξουσιοδότησης. Εκμεταλλευόμενοι αυτά τα ζητήματα, οι εισβολείς αποκτούν πρόσβαση σε πόρους ή/και διοικητικές λειτουργίες άλλων χρηστών. |
 | API6:2019 - Mass Assignment | Η δέσμευση παρεχόμενων δεδομένων πελάτη (π.χ. JSON) σε μοντέλα δεδομένων, χωρίς το κατάλληλο φιλτράρισμα ιδιοτήτων βάσει μιας λίστας επιτρεπόμενων, συνήθως οδηγεί σε μαζική εκχώρηση (Mass Assignment). H εικασία ιδιοτήτων αντικειμένων, η εξερεύνηση άλλων τελικών σημείων API, η ανάγνωση της τεκμηρίωσης ή η παροχή πρόσθετων ιδιοτήτων αντικειμένων σε ωφέλιμα φορτία αιτημάτων, επιτρέπει στους εισβολείς να τροποποιήσουν τις ιδιότητες αντικειμένων που δεν θα έπρεπε να έχουν πρόσβαση να τροποποιήσουν. |