Add Italian (it) translation for OWASP API Security Top 10 2019 and 2023

SECURITY.md

@@ -0,0 +1,59 @@
+# Security Policy 
+
+ ## Supported Versions 
+
+ This repository contains documentation and educational content. 
+ There are no executable components or deployed services associated with this project. 
+
+ The `master` branch reflects the latest maintained version of the documentation. 
+
+ | Version | Supported | 
+ |--------|-----------| 
+ | master | ✅ | 
+ | Others | ❌ | 
+
+ --- 
+
+ ## Reporting a Vulnerability 
+
+ This repository does **not** directly process user data, authentication, or runtime execution. 
+ However, if you believe you have identified: 
+
+ - A security issue affecting linked tooling or referenced examples 
+ - A misconfiguration that could lead to unsafe usage patterns 
+ - A vulnerability related to CI/CD workflows or repository automation 
+
+ Please follow **responsible disclosure** practices. 
+
+ ### How to Report 
+ - Open a **private GitHub Security Advisory** for this repository, **or** 
+ - Contact the OWASP project maintainers through official OWASP communication channels 
+
+ Please include: 
+ - A clear description of the issue 
+ - Steps to reproduce (if applicable) 
+ - Potential impact 
+ - Suggested remediation (if available) 
+
+ --- 
+
+ ## Disclosure Process 
+
+ - Reports will be reviewed by project maintainers 
+ - If applicable, fixes will be discussed and implemented 
+ - Public disclosure may occur after remediation, with reporter credit if desired 
+
+ --- 
+
+ ## Security Best Practices for Contributors 
+
+ - Do not include secrets, tokens, or credentials in documentation or workflows 
+ - Avoid using user-controlled input in CI/CD pipelines without validation 
+ - Follow the OWASP Cheat Sheet Series for secure development and governance practices 
+
+ --- 
+
+ ## Recognition 
+
+ Security researchers and contributors who responsibly disclose issues may be acknowledged 
+ in release notes or project documentation, unless anonymity is requested.

editions/2019/it/0x00-header.md

@@ -0,0 +1,19 @@
+---
+title: ''
+---
+
+![OWASP LOGO](./images/owasp-logo.png)
+
+# OWASP API Security Top 10 2019
+
+I Dieci Rischi di Sicurezza delle API Più Critici
+
+29 maggio 2019
+
+![WASP Logo URL TBA](./images/front-wasp.png)
+
+| | | |
+| - | - | - |
+| https://owasp.org | Questo documento è rilasciato sotto licenza [Creative Commons Attribution-ShareAlike 4.0 International][1] | ![Creative Commons License Logo](images/front-cc.png) |
+
+[1]: http://creativecommons.org/licenses/by-sa/4.0/

editions/2019/it/0x00-notice.md

@@ -0,0 +1,14 @@
+# Avviso
+
+Questa è la versione in formato testo dell'OWASP API Security Top 10, utilizzata
+come sorgente per la versione ufficiale distribuita in formato PDF (Portable
+Document Format).
+
+I contributi al progetto come commenti, correzioni o traduzioni devono essere
+effettuati qui. Per i dettagli su [Come Contribuire][1], fare riferimento a
+[CONTRIBUTING.md][1].
+
+* Erez Yallon
+* Inon Shkedy
+
+[1]: ../../../CONTRIBUTING.md

editions/2019/it/0x00-toc.md

@@ -0,0 +1,23 @@
+# Indice
+
+* [Indice](0x00-toc.md)
+* [Informazioni su OWASP](0x01-about-owasp.md)
+* [Prefazione](0x02-foreword.md)
+* [Introduzione](0x03-introduction.md)
+* [Note di Rilascio](0x04-release-notes.md)
+* [Rischi di Sicurezza delle API](0x10-api-security-risks.md)
+* [OWASP Top 10 API Security Risks – 2019](0x11-t10.md)
+* [API1:2019 Broken Object Level Authorization](0xa1-broken-object-level-authorization.md)
+* [API2:2019 Broken User Authentication](0xa2-broken-user-authentication.md)
+* [API3:2019 Excessive Data Exposure](0xa3-excessive-data-exposure.md)
+* [API4:2019 Lack of Resources & Rate Limiting](0xa4-lack-of-resources-and-rate-limiting.md)
+* [API5:2019 Broken Function Level Authorization](0xa5-broken-function-level-authorization.md)
+* [API6:2019 Mass Assignment](0xa6-mass-assignment.md)
+* [API7:2019 Security Misconfiguration](0xa7-security-misconfiguration.md)
+* [API8:2019 Injection](0xa8-injection.md)
+* [API9:2019 Improper Assets Management](0xa9-improper-assets-management.md)
+* [API10:2019 Insufficient Logging & Monitoring](0xaa-insufficient-logging-monitoring.md)
+* [Prossimi Passi per gli Sviluppatori](0xb0-next-devs.md)
+* [Prossimi Passi per i DevSecOps](0xb1-next-devsecops.md)
+* [Metodologia e Dati](0xd0-about-data.md)
+* [Riconoscimenti](0xd1-acknowledgments.md)

editions/2019/it/0x01-about-owasp.md

@@ -0,0 +1,61 @@
+# Informazioni su OWASP
+
+L'Open Web Application Security Project (OWASP) è una comunità aperta dedicata
+a supportare le organizzazioni nello sviluppo, nell'acquisto e nel mantenimento
+di applicazioni e API affidabili.
+
+Su OWASP troverai gratuitamente e in formato aperto:
+
+* Strumenti e standard per la sicurezza delle applicazioni.
+* Guide complete sul testing della sicurezza applicativa, sullo sviluppo sicuro
+  del codice e sulla revisione del codice sicuro.
+* Presentazioni e [video][1].
+* [Cheat sheet][2] su molti argomenti comuni.
+* Controlli di sicurezza standard e librerie.
+* [Capitoli locali in tutto il mondo][3].
+* Ricerca all'avanguardia.
+* [Conferenze internazionali][4] di grande rilievo.
+* [Mailing list][5].
+
+Scopri di più su: [https://www.owasp.org][6].
+
+Tutti gli strumenti, i documenti, i video, le presentazioni e i capitoli OWASP
+sono gratuiti e aperti a chiunque voglia migliorare la sicurezza delle
+applicazioni.
+
+Riteniamo che la sicurezza applicativa debba essere affrontata come un problema
+di persone, processi e tecnologia, poiché gli approcci più efficaci richiedono
+miglioramenti in tutte queste aree.
+
+OWASP è un nuovo tipo di organizzazione. La nostra indipendenza dalle pressioni
+commerciali ci permette di fornire informazioni imparziali, pratiche ed
+economicamente accessibili sulla sicurezza delle applicazioni.
+
+OWASP non è affiliata ad alcuna azienda tecnologica, pur supportando l'uso
+consapevole di tecnologie di sicurezza commerciali. OWASP produce molti tipi
+di materiali in modo collaborativo, trasparente e aperto.
+
+La OWASP Foundation è l'ente no-profit che garantisce il successo a lungo
+termine del progetto. Quasi tutte le persone coinvolte in OWASP sono volontarie,
+inclusi il consiglio di amministrazione, i responsabili dei capitoli, i
+responsabili dei progetti e i membri dei progetti. Supportiamo la ricerca
+innovativa sulla sicurezza attraverso sovvenzioni e infrastrutture.
+
+Unisciti a noi!
+
+## Copyright e Licenza
+
+![license](images/license.png)
+
+Copyright © 2003-2019 The OWASP Foundation. Questo documento è rilasciato sotto
+la licenza [Creative Commons Attribution Share-Alike 4.0][7]. Per qualsiasi
+riutilizzo o distribuzione, è necessario rendere chiari agli altri i termini
+della licenza di questo lavoro.
+
+[1]: https://www.youtube.com/user/OWASPGLOBAL
+[2]: https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series
+[3]: https://www.owasp.org/index.php/OWASP_Chapter
+[4]: https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference
+[5]: https://lists.owasp.org/mailman/listinfo
+[6]: https://www.owasp.org
+[7]: http://creativecommons.org/licenses/by-sa/4.0/

editions/2019/it/0x02-foreword.md

@@ -0,0 +1,45 @@
+# Prefazione
+
+Un elemento fondante dell'innovazione nel mondo odierno, guidato dalle
+applicazioni, è la Application Programming Interface (API). Dalle banche, al
+commercio al dettaglio e ai trasporti, fino all'IoT, ai veicoli autonomi e alle
+città intelligenti, le API sono una componente critica delle moderne applicazioni
+mobile, SaaS e web, e si trovano nelle applicazioni rivolte ai clienti, ai
+partner e ad uso interno.
+
+Per loro natura, le API espongono la logica applicativa e dati sensibili come le
+Informazioni di Identificazione Personale (PII) e, per questo motivo, le API
+sono diventate sempre più un bersaglio per gli attaccanti. Senza API sicure,
+l'innovazione rapida sarebbe impossibile.
+
+Sebbene una classifica più ampia dei rischi di sicurezza delle applicazioni web
+abbia ancora senso, data la loro natura particolare, è necessaria una lista di
+rischi specifica per le API. La sicurezza delle API si concentra su strategie e
+soluzioni per comprendere e mitigare le vulnerabilità e i rischi di sicurezza
+unici associati alle API.
+
+Se hai familiarità con il [Progetto OWASP Top 10][1], noterai le analogie tra i
+due documenti: entrambi sono pensati per essere leggibili e facilmente adottati.
+Se sei nuovo alla serie OWASP Top 10, potresti trovare utile leggere prima le
+sezioni [Rischi di Sicurezza delle API][2] e [Metodologia e Dati][3] prima di
+consultare la lista Top 10.
+
+Puoi contribuire all'OWASP API Security Top 10 con domande, commenti e idee
+tramite il nostro repository GitHub:
+
+* https://github.com/OWASP/API-Security/issues
+* https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
+
+Puoi trovare l'OWASP API Security Top 10 qui:
+
+* https://www.owasp.org/index.php/OWASP_API_Security_Project
+* https://github.com/OWASP/API-Security
+
+Desideriamo ringraziare tutti i contributori che hanno reso possibile questo
+progetto con il loro impegno e i loro contributi. Sono tutti elencati nella
+[sezione Riconoscimenti][4]. Grazie!
+
+[1]: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd0-about-data.md
+[4]: ./0xd1-acknowledgments.md

editions/2019/it/0x03-introduction.md

@@ -0,0 +1,29 @@
+# Introduzione
+
+## Benvenuto nell'OWASP API Security Top 10 - 2019!
+
+Benvenuto nella prima edizione dell'OWASP API Security Top 10. Se hai
+familiarità con la serie OWASP Top 10, noterai le analogie: entrambi sono
+pensati per essere leggibili e facilmente adottati. In caso contrario, valuta
+di visitare la [pagina wiki del Progetto OWASP API Security][1] prima di
+approfondire i rischi di sicurezza delle API più critici.
+
+Le API svolgono un ruolo molto importante nell'architettura delle applicazioni
+moderne. Poiché la creazione di consapevolezza in materia di sicurezza e
+l'innovazione procedono a ritmi diversi, è importante concentrarsi sulle
+vulnerabilità di sicurezza delle API più comuni.
+
+L'obiettivo principale dell'OWASP API Security Top 10 è formare chi è coinvolto
+nello sviluppo e nella manutenzione delle API, come sviluppatori, designer,
+architetti, manager e organizzazioni.
+
+Nella sezione [Metodologia e Dati][2] puoi leggere ulteriori dettagli su come è
+stata creata questa prima edizione. Nelle versioni future, vogliamo coinvolgere
+il settore della sicurezza con una raccolta pubblica di dati. Per ora,
+incoraggiamo tutti a contribuire con domande, commenti e idee tramite il nostro
+[repository GitHub][3] o la [mailing list][4].
+
+[1]: https://www.owasp.org/index.php/OWASP_API_Security_Project
+[2]: ./0xd0-about-data.md
+[3]: https://github.com/OWASP/API-Security
+[4]: https://groups.google.com/a/owasp.org/forum/#!forum/api-security-project

editions/2019/it/0x04-release-notes.md

@@ -0,0 +1,24 @@
+# Note di Rilascio
+
+Questa è la prima edizione dell'OWASP API Security Top 10, che prevediamo di
+aggiornare periodicamente, ogni tre o quattro anni.
+
+A differenza di questa versione, nelle edizioni future vogliamo effettuare una
+raccolta pubblica di dati, coinvolgendo il settore della sicurezza in questo
+sforzo. Nella sezione [Metodologia e Dati][1] troverai maggiori dettagli su come
+è stata costruita questa versione. Per ulteriori informazioni sui rischi di
+sicurezza, fai riferimento alla sezione [Rischi di Sicurezza delle API][2].
+
+È importante comprendere che negli ultimi anni l'architettura delle applicazioni
+è cambiata significativamente. Attualmente, le API svolgono un ruolo molto
+importante in questa nuova architettura a microservizi, nelle Single Page
+Application (SPA), nelle app mobile, nell'IoT e così via.
+
+L'OWASP API Security Top 10 è stato un effort necessario per creare
+consapevolezza sui problemi di sicurezza delle API moderne. È stato possibile
+solo grazie al grande impegno di numerosi volontari, tutti elencati nella sezione
+[Riconoscimenti][3]. Grazie!
+
+[1]: ./0xd0-about-data.md
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd1-acknowledgments.md

editions/2019/it/0x10-api-security-risks.md

@@ -0,0 +1,48 @@
+# Rischi di Sicurezza delle API
+
+Per l'analisi dei rischi è stata utilizzata la [Metodologia di Valutazione del
+Rischio OWASP][1].
+
+La tabella seguente riassume la terminologia associata al punteggio di rischio.
+
+| Agenti di Minaccia | Sfruttabilità | Diffusione della Debolezza | Rilevabilità della Debolezza | Impatto Tecnico | Impatti sul Business |
+| :-: | :-: | :-: | :-: | :-: | :-: |
+| Specifico per API | Facile: **3** | Diffusa **3** | Facile **3** | Grave **3** | Specifico per il Business |
+| Specifico per API | Media: **2** | Comune **2** | Media **2** | Moderato **2** | Specifico per il Business |
+| Specifico per API | Difficile: **1** | Difficile **1** | Difficile **1** | Minore **1** | Specifico per il Business |
+
+**Nota**: Questo approccio non tiene conto della probabilità che l'agente di
+minaccia si materializzi, né dei vari dettagli tecnici specifici della tua
+applicazione. Ognuno di questi fattori potrebbe influenzare significativamente
+la probabilità complessiva che un attaccante trovi e sfrutti una determinata
+vulnerabilità. Questa valutazione non considera l'impatto reale sul tuo business.
+La tua organizzazione dovrà decidere quale livello di rischio di sicurezza delle
+applicazioni e delle API è disposta ad accettare, tenendo conto della propria
+cultura, del settore di appartenenza e del contesto normativo. Lo scopo
+dell'OWASP API Security Top 10 non è quello di effettuare questa analisi del
+rischio al posto tuo.
+
+## Riferimenti
+
+### OWASP
+
+* [Metodologia di Valutazione del Rischio OWASP][1]
+* [Articolo su Threat/Risk Modeling][2]
+
+### Esterni
+
+* [ISO 31000: Standard di Gestione del Rischio][3]
+* [ISO 27001: ISMS][4]
+* [NIST Cyber Framework (US)][5]
+* [ASD Strategic Mitigations (AU)][6]
+* [NIST CVSS 3.0][7]
+* [Microsoft Threat Modeling Tool][8]
+
+[1]: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
+[2]: https://www.owasp.org/index.php/Threat_Risk_Modeling
+[3]: https://www.iso.org/iso-31000-risk-management.html
+[4]: https://www.iso.org/isoiec-27001-information-security.html
+[5]: https://www.nist.gov/cyberframework
+[6]: https://www.asd.gov.au/infosec/mitigationstrategies.htm
+[7]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
+[8]: https://www.microsoft.com/en-us/download/details.aspx?id=49168

editions/2019/it/0x11-t10.md

@@ -0,0 +1,14 @@
+# OWASP Top 10 API Security Risks – 2019
+
+| Rischio | Descrizione |
+| ---- | ----------- |
+| API1:2019 - Broken Object Level Authorization | Le API tendono a esporre endpoint che gestiscono identificatori di oggetti, creando un'ampia superficie di attacco legata ai problemi di controllo degli accessi a livello di oggetto. I controlli di autorizzazione a livello di oggetto devono essere considerati in ogni funzione che accede a una fonte di dati tramite un input dell'utente. |
+| API2:2019 - Broken User Authentication | I meccanismi di autenticazione sono spesso implementati in modo errato, consentendo agli attaccanti di compromettere i token di autenticazione o di sfruttare falle implementative per assumere temporaneamente o permanentemente l'identità di altri utenti. La compromissione della capacità del sistema di identificare il client/utente compromette la sicurezza dell'API nel suo complesso. |
+| API3:2019 - Excessive Data Exposure | Puntando a implementazioni generiche, gli sviluppatori tendono a esporre tutte le proprietà degli oggetti senza considerarne la sensibilità individuale, affidandosi ai client per filtrare i dati prima di mostrarli all'utente. |
+| API4:2019 - Lack of Resources & Rate Limiting | Molto spesso le API non impongono alcuna restrizione sulle dimensioni o sul numero di risorse che possono essere richieste dal client/utente. Ciò non solo può compromettere le prestazioni del server API, portando a un Denial of Service (DoS), ma apre anche la porta a falle di autenticazione come gli attacchi a forza bruta. |
+| API5:2019 - Broken Function Level Authorization | Politiche di controllo degli accessi complesse con gerarchie, gruppi e ruoli differenti, e una separazione poco chiara tra funzioni amministrative e funzioni ordinarie, tendono a causare falle nell'autorizzazione. Sfruttando queste problematiche, gli attaccanti ottengono accesso alle risorse di altri utenti e/o alle funzioni amministrative. |
+| API6:2019 - Mass Assignment | L'associazione dei dati forniti dal client (ad esempio JSON) ai modelli dati, senza un adeguato filtraggio delle proprietà basato su una whitelist, porta solitamente al Mass Assignment. Indovinando le proprietà degli oggetti, esplorando altri endpoint API, leggendo la documentazione o fornendo proprietà aggiuntive nei payload delle richieste, gli attaccanti possono modificare proprietà degli oggetti a cui non dovrebbero avere accesso. |
+| API7:2019 - Security Misconfiguration | La configurazione errata della sicurezza è comunemente il risultato di configurazioni di default non sicure, configurazioni incomplete o estemporanee, storage cloud aperto, header HTTP configurati in modo errato, metodi HTTP non necessari, Cross-Origin Resource Sharing (CORS) permissivo e messaggi di errore dettagliati contenenti informazioni sensibili. |
+| API8:2019 - Injection | Le falle di injection, come SQL, NoSQL, Command Injection, ecc., si verificano quando dati non attendibili vengono inviati a un interprete come parte di un comando o di una query. I dati malevoli dell'attaccante possono ingannare l'interprete inducendolo a eseguire comandi non previsti o ad accedere a dati senza la dovuta autorizzazione. |
+| API9:2019 - Improper Assets Management | Le API tendono a esporre più endpoint rispetto alle applicazioni web tradizionali, rendendo una documentazione aggiornata e accurata molto importante. Un inventario adeguato degli host e delle versioni API distribuite svolge anche un ruolo importante nel mitigare problemi come le versioni API deprecate e gli endpoint di debug esposti. |
+| API10:2019 - Insufficient Logging & Monitoring | Logging e monitoraggio insufficienti, uniti a un'integrazione con la risposta agli incidenti assente o inefficace, consentono agli attaccanti di continuare ad attaccare i sistemi, mantenere la persistenza, spostarsi lateralmente su altri sistemi per manomettere, estrarre o distruggere dati. La maggior parte degli studi sulle violazioni dimostra che il tempo necessario per rilevare una violazione supera i 200 giorni, tipicamente rilevata da terze parti piuttosto che da processi o monitoraggio interni. |