为什么选择 OpenText
概述 为什么选择 OpenText
OpenText 拥有数十年的专业经验,可帮助您解锁数据、连接人员和流程,并以信任为 AI 提供动力
AI 领导力
概述 Aviator AI
以全新方式查看信息
OpenText™ Aviator™ AI
能够理解您的业务、数据和目标的 AI
OpenText™ MyAviator
迎接更快的决策。您安全的 AI 个人助理已准备就绪,随时开始工作
OpenText™ Business Network Aviator™
利用生成式 AI 为供应链获取更深入的见解
OpenText™ Content Aviator™
利用 AI 内容管理和智能 AI 内容助手实现高效工作
OpenText™ Cybersecurity Aviator™
通过 AI 网络安全和敏捷威胁检测提升您的安全态势
OpenText™ DevOps Aviator™
实现更快的应用交付、开发和自动化软件测试
OpenText™ Experience Aviator™
提升客户沟通和体验,助力客户成功
OpenText™ Service Management Aviator™
让用户、服务代理和 IT 人员能够找到他们所需的答案
Aviator AI
概述 Aviator AI
以全新方式查看信息
OpenText™ Aviator™ AI
能够理解您的业务、数据和目标的 AI
OpenText™ MyAviator
迎接更快的决策。您安全的 AI 个人助理已准备就绪,随时开始工作
OpenText™ Business Network Aviator™
利用生成式 AI 为供应链获取更深入的见解
OpenText™ Content Aviator™
利用 AI 内容管理和智能 AI 内容助手实现高效工作
OpenText™ Cybersecurity Aviator™
通过 AI 网络安全和敏捷威胁检测提升您的安全态势
OpenText™ DevOps Aviator™
实现更快的应用交付、开发和自动化软件测试
OpenText™ Experience Aviator™
提升客户沟通和体验,助力客户成功
OpenText™ Service Management Aviator™
让用户、服务代理和 IT 人员能够找到他们所需的答案
商业网络
概述 Business Network
一次连接,即可通过安全的 B2B 集成平台触达一切
OpenText™ Business Network Aviator™(AI)
彻底革新云互联网的连接方式
内容
概述 Content
利用 AI 就绪的内容管理解决方案重新构想知识
网络安全
概述 Cybersecurity
用于企业保护的集成网络安全解决方案
面向中小企业和托管服务提供商的 OpenText 网络安全解决方案
专用数据保护和安全解决方案
OpenText™ Cybersecurity Aviator™(AI)
利用敏捷 AI 的强大功能重新定义威胁狩猎,以提升安全态势
DevOps
概述 DevOps
通过 AI 驱动的 DevOps 自动化、测试和质量,更快地交付更优质的软件
可观测性和服务管理
概述 Observability and Service Management
获得所需的清晰度,以降低 IT 运营的成本和复杂性
OpenText™ Service Management Aviator™(AI)
利用私有生成式 AI 的自助服务功能重新定义一级业务支持功能
API
概述 APIs
利用成熟的 OpenText 信息管理技术构建自定义应用程序
OpenText™ API Services
使用 OpenText 云 API 按自己的方式构建,这些 API 可创建实时信息流,从而支持自定义应用程序和工作流
Device and Data Protection
概述 Device and Data Protection
保护重要内容,在关键时刻进行恢复
统一端点管理工具
- OpenText™ Endpoint Management
- OpenText™ ZENworks Suite
- OpenText™ ZENworks Service Desk
- OpenText™ ZENworks Configuration Management
- OpenText™ ZENworks Endpoint Security Management
- OpenText™ ZENworks Full Disk Encryption
- OpenText™ ZENworks Endpoint Software Patch Management
- OpenText™ ZENworks Asset Management
可信数据与 AI
概述 可信数据与 AI
安全信息管理与可信的 AI 相结合
OpenText AI Data Platform
提升数据和 AI 信任度的统一数据框架
OpenText™ Aviator Studio
在这里,您可以使用数据语言构建、部署和迭代代理
OpenText Discovery
一套用于帮助摄取数据和自动化元数据标记,以推动 AI 发展的工具
OpenText 数据合规
一套使治理具有主动性和持久性的服务和 API
OpenText Aviator AI 服务
专业服务专家助您踏上 AI 之旅
人工智能
概述 Aviator AI
以全新方式查看信息
OpenText™ Aviator™ AI
能够理解您的业务、数据和目标的 AI
OpenText™ MyAviator
迎接更快的决策。您安全的 AI 个人助理已准备就绪,随时开始工作
OpenText™ Business Network Aviator™
利用生成式 AI 为供应链获取更深入的见解
OpenText™ Content Aviator™
利用 AI 内容管理和智能 AI 内容助手实现高效工作
OpenText™ Cybersecurity Aviator™
通过 AI 网络安全和敏捷威胁检测提升您的安全态势
OpenText™ DevOps Aviator™
实现更快的应用交付、开发和自动化软件测试
OpenText™ Experience Aviator™
提升客户沟通和体验,助力客户成功
OpenText™ Service Management Aviator™
让用户、服务代理和 IT 人员能够找到他们所需的答案
什么是 OWASP Top 10?
概述
开放网络应用程序安全项目(OWASP)是一个开源应用程序安全社区,其目标是提高软件的安全性。OWASP Top 10 是一项行业标准指南,列出了最关键的应用程序安全风险,以帮助开发人员更好地保护其设计和部署的应用程序。
由于安全风险在不断变化,OWASP 十佳名单会定期修订,以反映这些变化。在 2021 年发布的最新版 OWASP Top 10 中,一些不再构成严重威胁的漏洞类型被最有可能构成重大风险的漏洞类型所取代。
虽然 OWASP Top 10 是保护应用程序安全的一个很好的起点,但它当然不应被视为最终目标,因为有些被引用最多的漏洞并没有进入 OWASP Top 10 2021。为了防范软件弱点,防御者需要更广泛地审视整个信息技术堆栈。这意味着 IT 安全专业人员需要关注整个软件生态系统,并超越 "传统 "的漏洞来源。
OWASP 10 强
什么是 OWASP Top 10(2021 年)类别?
A1: 注射
只要向解释器发送不受信任的数据源,就会产生注入漏洞。用户输入的 SQL、LDAP、XPath 或 NoSQL 动态数据库查询中经常会有这样的例子。攻击者在用户输入中注入代码,诱使查询解释器执行恶意命令。
是什么让应用程序容易受到注入缺陷的攻击?
- 用户提供的数据未得到充分验证。
- 运行动态查询时未进行足够的输入消毒。
- 系统内用于恶意行为的敌对数据。
注射缺陷有什么影响?
- 应用程序或底层主机受损。
- 暴露敏感数据。
- 生产力、声誉或收入损失。
Fortify 如何帮助解决注射缺陷?
- 如果您是开发人员:Fortify 可检测注入漏洞,并提供针对特定类型的修复建议。
- 如果您在质量保证部门或运营部门工作:Fortify 可在运行时验证代码,以减少控制。
- 如果您在运营部门:Fortify 为 Java 和 .NET 注入尝试提供运行时日志和保护。
A2:验证失灵
在有状态应用程序中管理身份或会话数据时,可能会出现验证失败的情况。当注册、凭证恢复和 API 途径容易受到未过期会话令牌、暴力破解或账户枚举的影响时,就经常会发现这样的例子。攻击者假冒合法用户的身份,控制账户并破坏数据、程序或系统。
是什么导致应用程序容易受到身份验证漏洞的影响?
- 暴露、未正确失效或无法旋转会话 ID。
- 密码政策不符合 NIST 800-63B 等标准。
- 缺乏双因素身份验证(2FA)或允许自动攻击。
认证失效会产生什么影响?
- 用户身份盗窃。
- 失去用户信任。
- 敏感数据泄露。
Fortify 如何提供帮助?
- 如果您是开发人员:Fortify 可检测并建议修复已损坏的身份验证问题。
- 如果您在质量保证部门或运营部门工作:Fortify 可动态验证身份验证和会话管理安全性。
- 如果您在运营部门:Fortify 对 Java 和 .NET 应用程序事件进行运行时监控。
A3:敏感数据曝光
当应用程序访问未加密的数据,特别是个人身份信息(PII)和其他受监管的数据类型时,可能会带来敏感数据暴露问题。在传统应用程序中使用弱加密密码器、错误实施安全传输协议或未使用以数据为中心的安全性时,经常会发现这样的例子。攻击者可以获取敏感的用户数据,从而在现实生活中对其进行控制。
是什么导致应用程序容易受到敏感数据暴露的影响?
- 通过 HTTP、SMTP 和 FTP 等协议以明文传输数据。
- 以明文形式存储、传输或使用不必要的敏感数据。
- 使用旧的、弱的或非标准的加密算法。
敏感数据暴露会产生什么影响?
- 破坏受监管数据(例如HIPAA 或 GDPR)导致罚款。
- 身份劫持导致的数据清洗或监控成本。
- 不符合隐私法律法规。
Fortify 如何帮助解决敏感数据暴露问题?
- 如果您是开发人员:Fortify 可识别敏感数据风险并自动进行问题审计。
- 如果您在质量保证部门或运营部门工作:利用模板化功能,Fortify 移除在应用程序上下文之外减轻影响的发现。
- 如果您在运营部门:为 Java 和 .NET 应用程序 Fortify 工具记录和保护。
A4:XML 外部实体
当包含外部实体引用的 XML 输入被配置较弱的解析器处理时,可能会引入 XML 外部实体问题。在解析来自不受信任来源的 XML 输入、启用文档类型定义 (DTD) 或使用 SOAP 1.0 等未打补丁框架的应用程序中,经常会发现这样的例子。XML 无处不在--从 SVG 和图像文件到网络协议以及 PDF 和 RSS 等文档格式。攻击者在 XML 输入中引用外部实体,导致处理器被利用来提取数据、远程执行代码或影响网络服务。
是什么让应用程序容易受到 XML 外部实体的攻击?
- 应用程序会解析 XML 文档,处理器已启用 DTD。
- 使用 SAML 进行 SSO、SOAP(版本 1.2 之前)或 .NET Framework(版本 2.0 之前)。
- 解析器接受不受信任的来源或插入不受信任的 XML 数据。
XML 外部实体有什么影响?
- 敏感数据被盗。
- 加载攻击者控制的 URL。
- 拒绝服务攻击(DoS)。
Fortify 如何帮助 XML 外部实体?
- 如果您是开发人员:Fortify 可检测易受攻击的 XML 解析器,并推荐缓解因素。
- 如果您在质量保证部门或运营部门工作:Fortify 会自动扫描易受攻击的 XML 解析器,并验证漏洞利用的有效载荷。
- 如果您在运营部门:Fortify 为 Java 和 .NET 应用程序中的问题提供运行时日志和保护。
A5:访问控制失灵
当代码和环境限制重叠不完整,或在多个地方对类似功能进行定义时,就会产生访问控制问题。当通过强行浏览受限页面,或当应用程序以多种方式和位置定义复杂的访问控制方法时,就会经常出现这种情况。攻击者可以破坏访问边界,窃取敏感数据或破坏运行。
是什么导致应用程序容易受到访问控制漏洞的影响?
- 无需登录即可充当用户,或以用户身份登录后充当管理员。
- 操纵元数据或令牌以获得未经授权或提升的权限。
- 拜占庭式、未执行或分散的访问控制逻辑。
访问控制失灵会产生什么影响?
- 未经授权的信息披露或敏感数据泄露。
- 修改或销毁数据。
- 接管网站管理或用户。
Fortify 如何帮助破解访问控制?
- 如果您是开发人员:Fortify 可自动进行审核,并允许模板化以移除在其他地方减轻的问题。
- 如果您在质量保证和运营部门工作:Fortify 代理可检测隐藏的攻击面和损坏的访问控制系统。
- 如果您在运营部门:针对 Java 和 .NET 应用程序的 Fortify 工具运行时访问控制日志。
A6:安全配置错误
在配置应用程序或其底层环境时,可能会引入安全配置错误缺陷。配置错误可能发生在应用程序堆栈的任何层级,从网络服务和应用程序服务器到容器和存储。默认账户和配置、"漏" 错误信息或未打补丁的框架和服务中经常会发现这样的例子。攻击者可以获取部署信息和访问权限数据,从而破坏运行。
是什么导致应用程序容易受到安全错误配置的影响?
- 不必要地启用默认端口和账户或未更改密码。
- 出现错误和异常时,显示堆栈跟踪或其他信息。
- 未针对堆栈任何部分造成的风险适当加固安全性。
安全配置错误会产生什么影响?
影响程度从信息泄露到系统完全崩溃不等。
Fortify 如何帮助解决安全配置错误问题?
- 如果您是开发人员:Fortify 会在扫描过程中识别应用程序依赖关系和配置文件。
- 如果您在质量保证和运营部门工作:Fortify 可动态评估应用程序和服务器配置是否存在问题。
- 如果您在运营部门:Fortify 提供用于报告环境风险的开源分析。
A7:跨站脚本
当不受信任、未经消毒的用户输入作为 HTML 的一部分执行时,或者当用户受影响与恶意链接交互时,就会出现跨站脚本 (XSS) 漏洞。当来自 JavaScript 或 Flash 等语言的熟悉代码结构从不受信任的来源被接受或被存储以供另一个用户代理稍后显示时,就经常会出现这样的例子。攻击者可以在用户机器上执行远程代码、窃取凭据或从重定向网站发送恶意软件。
是什么让应用程序容易受到跨站脚本 (XSS) 的攻击?
XSS 有三种形式,通常以浏览器等用户代理为目标:
- 反射 XSS:应用程序或应用程序接口在 HTML 输出中包含不受信任的输入。
- 存储的 XSS:保存到磁盘的未消毒代码稍后会被用户操作触发。
- DOM XSS:使用不受信任输入的应用程序、框架和应用程序接口。
跨站脚本 (XSS) 有什么影响?
- 接管受害者在应用程序中的账户。
- 从目标网络应用程序中检索数据。
- 修改页面内容。
Fortify 如何帮助解决跨站脚本 (XSS) 问题?
- 如果您是开发人员:Fortify 可检测代码中的 XSS 漏洞,并预测被利用的可能性。
- 如果您在质量保证和运营部门工作:Fortify 可动态验证代码是否存在易受 XSS 影响的未扫描输入。
- 如果您在运营部门:Fortify 可记录 Java 和 .NET 事件,包括未经授权的重定向。
A8:不安全的反序列化
当语言和框架允许将不受信任的序列化数据扩展到对象中时,就会引入不安全的反序列化缺陷,这通常发生在网络应用程序与用户通信或保存应用程序状态时。当开发人员对反序列化过程中可以自执行的方法不加限制时,经常会发现这样的例子。攻击者利用这些"小工具链" 在应用程序逻辑外调用,远程执行代码、拒绝服务或获取未经授权的访问。
是什么导致应用程序容易受到不安全反序列化的影响?
- 应用程序反序列化不受信任来源的数据。
- 在反序列化之前,应用程序不会验证源代码或内容。
- 可接受的类别不列入白名单,以避免不必要的小工具暴露。
不安全的反序列化会产生什么影响?
- 这些缺陷可能导致远程代码执行攻击,这是最严重的攻击之一。
Fortify 如何帮助解决不安全的反序列化问题?
- 如果您是开发人员:Fortify 可检测源代码中的漏洞并提供组件分析。
- 如果您在质量保证和运营部门工作:Fortify 动态运行应用程序的仪器,以验证攻击向量。
- 如果您在运营部门:Fortify Java 和 .NET 事件(包括反序列化)的仪器日志记录。
A9:使用存在已知漏洞的组件
当开放源代码或第三方框架和库被引入应用程序并以相同权限运行时,就会产生这些漏洞。经常发现的例子是,基于组件的开发导致对与依赖性相关的风险缺乏了解,组件或系统难以或无法修补。攻击者已经利用易受攻击的组件造成了历史上一些最大规模的漏洞,尽管漏洞的范围从应用程序受损到远程代码执行不等。
是什么导致应用程序易受开源或第三方框架和库的影响?
- 这些可能是偶然的(如编码错误)或故意(如后备组件)。
- 应用程序或环境使用未打补丁或过时的组件(应用程序现代化 至关重要的原因之一)。
- 缺乏对第三方代码或嵌套依赖关系中漏洞的扫描。
- 无法获得组件库存或忽略安全公告。
使用存在已知漏洞的组件会有什么影响?
虽然一些已知漏洞只会造成轻微影响,但一些最大的已知漏洞,如 Heartbleed 和 Shellshock,都是利用了共享组件中的已知漏洞。使用存在已知代码漏洞的组件会导致在受影响的服务器上远程执行代码,使攻击者完全控制机器。
Fortify 如何帮助实现开源安全?
- 如果您是开发人员:Fortify 通过 Sonatype 集成提供软件组件分析。
- 如果您在质量保证和运营部门工作:Fortify 可在运行时自动对已知漏洞进行动态验证。
- 如果您在运营部门:Fortify Java 和 .NET 应用程序组件的工具记录和保护。
A10:记录和监测不足
如果对攻击载体或应用程序不当行为不甚了解,或没有遵循监控入侵迹象的最佳做法,就会导致日志记录和监控缺陷不足。没有日志记录功能的遗留系统、应用程序渗透测试的日志未被检查,或者日志没有提供足够的细节来了解攻击者的所作所为,都是常见的例子。攻击者通常需要平均 200 天左右的时间来检测外部发现,以建立持久性并转移到其他易受攻击的系统。
是什么导致应用程序容易受到日志记录和监控不足的影响?
- 警告和错误不会生成日志信息,也不会生成不完整或不清晰的日志信息。
- 日志存储在本地,没有篡改控制和/或不受监控。
- 警报阈值和响应流程不足或导致无法采取行动。
日志记录和监控不足会产生什么影响?
大多数成功的攻击都是从漏洞探测开始的。允许此类探测继续进行,会增加成功利用的可能性。攻击者可能会建立持久性,回溯应用程序和操作系统,窃取数据,或以其他方式在未被察觉的情况下获得对系统的控制权。如果没有适当记录或存储安全关键信息,就无法通过法证分析发现攻击源。如果攻击者能够控制日志记录功能,那么要了解是否存在问题可能会变得更加困难,甚至不可能。
Fortify 如何帮助解决日志记录和监控不足的问题?
- 如果您是开发人员:Fortify 可扫描应用程序和应用程序接口中的日志记录功能,查找漏洞。
- 如果您在质量保证和运营部门工作:Fortify 动态扫描生成应用程序日志,以便进行充分性审查,就像笔测试一样。
- 如果您在运营部门:Fortify Java 和 .NET 应用程序的工具记录和保护。
OWASP 的新动向(2021 年)?
虽然距离上一次在 2017 年发布前 10 名仅过去了四年,但网络安全行业已经发生了许多变化,这让我们不得不三思而后行,考虑首要关注的问题或增加哪些新问题。
引入了三个新类别:
A04:2021
不安全的设计:该类别侧重于设计缺陷。之所以需要这样做,是因为发展左移运动要求威胁建模也要左移。
A08:2021
软件和数据完整性故障:重点关注与软件更新、关键数据和 CI/CD 管道有关的假设,而不验证它们可能影响的完整性。这也包含了 A08:2017 - 不安全的反序列化。
A10:2021
服务器端请求伪造 (SSRF):这个类别在社区调查中大多排在前 10 位。他们确实强调了这个漏洞,因为它的可利用性和影响高于平均水平。
其他变动
其他类别要么更名,要么移级,要么合并到其他类别中:
- A01:2017 - 注射下移至 A:03。
- A02:2017 - 验证失败更名为识别和验证失败,并下移至 A07。
- A03:2017 - 敏感数据暴露被上移至 A02,更名为密码故障,以更全面地解决根本原因,而不仅仅是症状。
- A05:2017 - 破损访问控制被移至 A01,因为在他们测试的应用程序中,有 94% 显示存在某种形式的破损访问控制。
- A06:2017--安全配置错误被上移一位至 A05。
- A07:2017 - 跨站脚本 (XSS) 已并入 A03 注入。
- A09:2017 - 使用存在已知漏洞的组件》被移至 A06,并更名为《漏洞和过时组件》。这一变化在很大程度上归功于社区将其列为榜单的第 2 位。
- A10:2017 - Insufficient Logging& Monitoring 上移至 A09,现称为 Security Logging and Monitoring Failures。
想了解 Fortify 如何帮助您的组织?立即 开始 免费试用 15 天的 OpenText™ Fortify on Demand
OpenText Fortify 应用程序安全
Fortify 可让您利用应用安全平台快速构建安全软件,该平台可在整个 CI/CD 管道中自动进行测试,使开发人员能够快速解决问题。
OpenText™ Fortify™ On Demand
解锁安全测试、漏洞管理以及量身定制的专业知识与支持
OpenText™ Fortify™ 静态代码分析器
利用领先于行业的精准输出结果,及早发现和修复安全问题
OpenText™ Fortify™ WebInspect
识别已部署网络应用程序和服务中的漏洞
OpenText™ Cybersecurity Cloud
精确防御,放心安全
