Zurück

Warum OpenText-

Übersicht Warum OpenText

OpenText verfügt über jahrzehntelange Erfahrung, um Sie dabei zu unterstützen, Daten zu erschließen, Menschen und Prozesse zu verbinden und KI vertrauenswürdig zu machen

Daten verwalten und verbinden

Vereinheitlichen Sie Daten nahtlos im gesamten Unternehmen, um isolierte Bereiche zu verbinden, die Zusammenarbeit zu verbessern und Risiken zu reduzieren.

KI-bereite Informationen

Machen Sie sich bereit für KI und verwandeln Sie Ihre Daten in strukturierte, zugängliche und optimierte Informationen

Integrierte Sicherheit und Compliance

Erfüllen Sie regulatorische und Compliance-Anforderungen und schützen Sie Ihre Informationen während ihres gesamten Lebenszyklus

Warum OpenText-

Übersicht Menschen befähigen

OpenText hilft Menschen, Inhalte zu verwalten, Arbeitsabläufe zu automatisieren, KI zu nutzen und zusammenzuarbeiten, um die Produktivität zu steigern

Kunden

Sehen Sie, wie Tausende von Unternehmen auf der ganzen Welt mit innovativen Lösungen von OpenText erfolgreich sind

Mitarbeiter

Unsere Mitarbeiter sind unser größtes Kapital; sie sind das Herz der Marke OpenText und ihrer Werte

Unternehmerische Verantwortung

Erfahren Sie, wie wir gesellschaftliche Ziele vorantreiben und den positiven Wandel beschleunigen wollen

Partner

Finden Sie einen hochqualifizierten OpenText-Partner mit der richtigen Lösung für die digitale Transformation

Warum OpenText-

Menü

und IBM Sterling im Vergleich

Menü

gegen Varonis

Menü

Warum OpenText-

Übersicht Implementierungsoptionen

Erkunden Sie skalierbare und flexible Bereitstellungsoptionen für globale Unternehmen jeder Größe

Souveräne Cloud

Lokale Kontrolle. Globaler Maßstab. Vertrauenswürdige KI

On-Premises-Lösungen

Ressourcen freisetzen, Leistung optimieren und Probleme schnell beheben

Public Cloud

Führen Sie das System überall aus und skalieren Sie es weltweit in der Public Cloud Ihrer Wahl

Warum OpenText-

Übersicht Aviator AI

Informationen auf neue Weise ansehen

OpenText™ Aviator™ AI

KI, die Ihr Unternehmen, Ihre Daten und Ihre Ziele versteht

OpenText™ MyAviator

Freuen sie sich auf schnellere Entscheidungen. Ihr sicherer persönlicher KI-Assistent ist bereit, an die Arbeit zu gehen.

OpenText™ Business Network Aviator™

Erhalten Sie bessere Einblicke mit generativer KI für Supply Chains

OpenText™ Content Aviator™

Leistungsstarke Arbeit mit KI-gestütztem Content-Management und einem intelligenten KI-Content-Assistenten

OpenText™ Cybersecurity Aviator™

Verbessern Sie die Sicherheit mit KI-Cybersecurity und agiler Bedrohungserkennung

OpenText™ DevOps Aviator™

Ermöglichen Sie eine schnellere Bereitstellung von Apps, Entwicklung und automatisierte Softwaretests

OpenText™ Experience Aviator™

Verbessern Sie die Kundenkommunikation und das Kundenerlebnis für den Kundenerfolg

OpenText™ Service Management Aviator™

Befähigen Sie Benutzer, Servicemitarbeiter und IT-Personal, die benötigten Antworten zu finden

Zurück

Menü

Übersicht Aviator AI

Informationen auf neue Weise ansehen

OpenText™ Aviator™ AI

KI, die Ihr Unternehmen, Ihre Daten und Ihre Ziele versteht

OpenText™ MyAviator

Freuen sie sich auf schnellere Entscheidungen. Ihr sicherer persönlicher KI-Assistent ist bereit, an die Arbeit zu gehen.

OpenText™ Business Network Aviator™

Erhalten Sie bessere Einblicke mit generativer KI für Supply Chains

OpenText™ Content Aviator™

Leistungsstarke Arbeit mit KI-gestütztem Content-Management und einem intelligenten KI-Content-Assistenten

OpenText™ Cybersecurity Aviator™

Verbessern Sie die Sicherheit mit KI-Cybersecurity und agiler Bedrohungserkennung

OpenText™ DevOps Aviator™

Ermöglichen Sie eine schnellere Bereitstellung von Apps, Entwicklung und automatisierte Softwaretests

OpenText™ Experience Aviator™

Verbessern Sie die Kundenkommunikation und das Kundenerlebnis für den Kundenerfolg

OpenText™ Service Management Aviator™

Befähigen Sie Benutzer, Servicemitarbeiter und IT-Personal, die benötigten Antworten zu finden

Menü

Übersicht Analytics

Vorhersagen, handeln und gewinnen mit Echtzeitanalysen auf einer intelligenteren Datenplattform

BI, Visualisierung und Berichterstattung

Übersicht Business Network

Einmal verbinden, alles erreichen – mit einer sicheren B2B-Integrationsplattform

Orchestrierung der Lieferkette

Lieferketten-Rückverfolgbarkeit

Branchenanwendungen und Dienstleistungen

OpenText™ Business Network Aviator™(AI)

Revolutionieren Sie die Konnektivität im Internet of Clouds

Menü

Übersicht Content

Definieren Sie Ihr Wissen ganz neu mit KI-fähigen Content Management-Lösungen

Erfassung und intelligente Dokumentenverarbeitung

OpenText™ Content Aviator™(AI)

Optimieren Sie intelligente Arbeitsumgebungen mit KI, um die Arbeitswelt zu modernisieren

Menü

Übersicht Cybersecurity

Integrierte Cybersicherheitslösungen für den Schutz von Unternehmen

Identity and Access Management

Digital Forensics and Incident Response

OpenText Cybersecurity für KMU und MSPs

Zweckmäßig entwickelte Datenschutz- und Sicherheitslösungen

OpenText™ Cybersecurity Aviator™(AI)

Definieren Sie die Bedrohungsbekämpfung neu und verbessern Sie die Sicherheitslage mit der Leistungsfähigkeit von agiler KI

Menü

Übersicht DevOps

Liefern Sie bessere Software – schneller – mit KI-gesteuerter DevOps-Automatisierung, Tests und Qualität

DevOps-Plattform

OpenText™ Core Software Delivery Platform

PPM und strategisches Portfoliomanagement

OpenText™ Project and Portfolio Management

OpenText™ DevOps Aviator™(AI)

Unterstützen Sie Millionen von Entwicklern mit KI-gesteuerten DevOps-Erfahrungen

Menü

Übersicht Experience

Definieren Sie Gespräche mit unvergesslichen Kundenerlebnissen neu

Erlebnisse im Web und auf mobilen Geräten

Management digitaler Ressourcen

OpenText™ Experience Aviator™(AI)

Gestalten Sie die Kundenkommunikation mit privater generativer KI ganz neu

Menü

Übersicht Observability and Service Management

Verschaffen Sie sich die nötige Klarheit, um die Kosten und die Komplexität des IT-Betriebs zu reduzieren

Automatisierung und Behebung von Sicherheitslücken

OpenText™ Service Management Aviator™(AI)

Definieren Sie Tier 1-Supportfunktionen mit Self-Service-Fähigkeiten aus privater generativer KI neu

Menü

Übersicht APIs

Erstellen Sie individuelle Anwendungen mit bewährter OpenText Information Management-Technologie

OpenText™ API Technische Dokumentation

OpenText™ API Services

Erstellen Sie Ihre eigene Lösung mit OpenText Cloud APIs. Mit diesen APIs erstellen Sie Echtzeit-Informationsflüsse, die benutzerdefinierte Anwendungen und Workflows ermöglichen.

Menü

Übersicht Device and Data Protection

Schützen, was wichtig ist, wiederherstellen, wenn es darauf ankommt

Datensicherungs- und Disaster Recovery-Lösungen für Unternehmen

Hybrides Arbeiten, E-Mails und Teamzusammenarbeit

Tools für das zentrale Endpoint-Management

E-Mail-Archivierung, E-Discovery, Compliance bei der Datenarchivierung

Konnektivität und Document Management

Zurück

Lösungen

Übersicht Vertrauenswürdige Daten und KI

Sicheres Informationsmanagement trifft auf vertrauenswürdige KI

OpenText AI-Datenplattform

Ein einheitliches Daten-Framework zur Stärkung des Vertrauens in Daten und KI

OpenText™ Aviator Studio

Ein Ort, an dem Sie Agenten in der Sprache Ihrer Daten erstellen, einsetzen und weiterentwickeln können

OpenText Discovery

Ein Satz von Tools zur Unterstützung der Datenaufnahme und zur Automatisierung der Metadaten-Tagging-Prozesse, um KI zu fördern

OpenText-Datenkonformität

Eine Suite von Diensten und APIs, die proaktive und dauerhafte Governance ermöglichen

OpenText Aviator AI Services

Professionelle Service-Experten, die Sie auf Ihrer KI-Reise unterstützen

Lösungen

Übersicht Informationen neu gedacht

Profitieren Sie von mehr Transparenz und präziseren Erkenntnissen durch KI-gestütztes Informationsmanagement. Möchten Sie sehen, wie?

Wissen neu interpretiert

Transformieren Sie die tägliche Arbeit mit KI-gestütztem Enterprise Content Management

Servicemanagement neu gedacht

Reduzieren Sie die Kosten und Komplexität von IT-Servicemanagement, AIOps und Observability

Verbindungen neu gedacht

KI-gestützte B2B-Integration für eine erfolgreiche Lieferkette

Gespräche neu gedacht

Steigern Sie Wert, Wachstum und Kundenloyalität durch vernetzte Kundenerlebnisse

Engineering neu gedacht

Agile Entwicklung und Softwarebereitstellung? Es scheint nur unmöglich

Entscheidungen neu gedacht

Entdecken Sie Erkenntnisse mit KI-Datenanalysen

Lösungen

Übersicht Aviator AI

Informationen auf neue Weise ansehen

OpenText™ Aviator™ AI

KI, die Ihr Unternehmen, Ihre Daten und Ihre Ziele versteht

OpenText™ MyAviator

Freuen sie sich auf schnellere Entscheidungen. Ihr sicherer persönlicher KI-Assistent ist bereit, an die Arbeit zu gehen.

OpenText™ Business Network Aviator™

Erhalten Sie bessere Einblicke mit generativer KI für Supply Chains

OpenText™ Content Aviator™

Leistungsstarke Arbeit mit KI-gestütztem Content-Management und einem intelligenten KI-Content-Assistenten

OpenText™ Cybersecurity Aviator™

Verbessern Sie die Sicherheit mit KI-Cybersecurity und agiler Bedrohungserkennung

OpenText™ DevOps Aviator™

Ermöglichen Sie eine schnellere Bereitstellung von Apps, Entwicklung und automatisierte Softwaretests

OpenText™ Experience Aviator™

Verbessern Sie die Kundenkommunikation und das Kundenerlebnis für den Kundenerfolg

OpenText™ Service Management Aviator™

Befähigen Sie Benutzer, Servicemitarbeiter und IT-Personal, die benötigten Antworten zu finden

Lösungen

Übersicht Branchenlösungen

Verbessern Sie Effizienz, Sicherheit und Kundenzufriedenheit mit OpenText

Energie und Ressourcen

Transformieren Sie die Energie- und Ressourcenprozesse mit Cloud, Cybersicherheit und KI

Finanzdienstleistungen

Steigern Sie Kundenerlebnis, Compliance und Effizienz mit KI

Regierung

Denken Sie Ihre Mission mit regierungssicherem Informationsmanagement neu

Gesundheitswesen und Lebenswissenschaften

Verbessern Sie die Versorgung und die Patientenbindung mit KI-gestützten Lösungen

Rechtswesen

Modernisieren Sie juristische Teams mit automatisierten, KI-gestützten Legal-Tech-Lösungen

Fertigung

Modernisieren Sie Fertigungsprozesse und Logistik, um Kosten zu senken und die Compliance zu gewährleisten

Einzelhandel und Konsumgüter

Verbessern Sie die Verbraucherbindung mit Omnichannel-Retail-Lösungen und KI

Lösungen

Übersicht Lösungen für Unternehmensanwendungen

Prozesse schneller und mit geringerem Risiko ausführen

Maximieren Sie nachhaltiges Wachstum, Wertschöpfung und Innovation mit intelligenten Unternehmenslösungen von OpenText und SAP

Mehr erfahren

Verknüpfen Sie Inhalte mit Geschäftsprozessen, um die Produktivität zu steigern und die Governance zu verbessern

Mehr erfahren

Optimieren Sie die Effektivität von Salesforce, indem Sie transaktionale Daten und unstrukturierte Inhalte zusammenführen

Mehr erfahren

Zurück

Services

Übersicht Services

Erreichen Sie die digitale Transformation mit Unterstützung von zertifizierten Experten

Professional Services

Modernisieren Sie Ihr Informationsmanagement mit zertifizierten Experten

Customer Success Services

Erreichen Sie Geschäftsziele mit Expertenberatung, Managed Services und mehr.

Support Services

Verwandeln Sie den Support in Ihren strategischen Vorteil

Managed Services

Entlasten Sie Ihre internen Teams mit fachkundigem IT-Servicemanagement

Learning Services

Informieren Sie sich über die Schulungsmöglichkeiten, die Anwendern aller Qualifikationsstufen helfen, OpenText-Produkte effektiv einzusetzen und zu nutzen

Services

Übersicht Professional Services

Modernisieren Sie Ihr Informationsmanagement mit zertifizierten Experten

Services

Übersicht Customer Success Services

Erreichen Sie Geschäftsziele mit Expertenberatung, Managed Services und mehr.

Services

Übersicht Support Services

Verwandeln Sie den Support in Ihren strategischen Vorteil

Services

Übersicht Managed Services

Entlasten Sie Ihre internen Teams mit fachkundigem IT-Servicemanagement

Services

Übersicht Learning Services

Informieren Sie sich über die Schulungsmöglichkeiten, die Anwendern aller Qualifikationsstufen helfen, OpenText-Produkte effektiv einzusetzen und zu nutzen

Zurück

Partner

Übersicht Finden Sie einen Partner

Finden Sie einen hochqualifizierten OpenText-Partner mit der richtigen Lösung für die digitale Transformation

Ausgewählte Partner

Öffentliche Cloud-Partner

Unternehmensanwendung

Partner

Übersicht Cloud-Partner

OpenText arbeitet mit führenden Cloud-Infrastruktur-Anbietern zusammen, um die Flexibilität zu bieten, OpenText-Lösungen überall auszuführen

Migrieren, optimieren und verwalten Sie Informationsmanagement-Lösungen auf AWS

Mehr erfahren

Optimieren Sie die Leistung und senken Sie die Kosten mit Anwendungen, die auf einer sicheren, global skalierbaren Plattform bereitgestellt werden

Mehr erfahren

Beschleunigung von Migration und Modernisierung durch Bereitstellung in einer hochsicheren und konformen Public Cloud

Mehr erfahren

Partner

Übersicht Partner für Unternehmensanwendungen

OpenText arbeitet mit führenden Anbietern von Unternehmens-Apps zusammen, um unstrukturierte Inhalte für bessere Geschäftseinblicke freizuschalten

Maximieren Sie nachhaltiges Wachstum, Wertschöpfung und Innovation mit intelligenten Unternehmenslösungen von OpenText und SAP

Mehr erfahren

Verknüpfen Sie Inhalte mit Geschäftsprozessen, um die Produktivität zu steigern und die Governance zu verbessern

Mehr erfahren

Optimieren Sie die Effektivität von Salesforce, indem Sie transaktionale Daten und unstrukturierte Inhalte zusammenführen

Mehr erfahren

Partner

Übersicht Partnerlösungen

Informieren Sie sich über flexible und innovative Angebote, die einen Mehrwert für OpenText-Lösungen bieten

Partner

Übersicht Ressourcen für Partner

Entdecken Sie die verfügbaren Ressourcen zur Unterstützung und zum Ausbau der Fähigkeiten von Partnern

Zurück

Übersicht Kundensupport

Erhalten Sie fachkundigen Produkt- und Service-Support, um die Lösung von Problemen zu beschleunigen und die Geschäftsabläufe effizient zu halten

Übersicht Ressourcen

Entdecken Sie detaillierte Dienstleistungen und Beratungspräsentationen, Briefings, Dokumentationen und weitere Ressourcen

Was ist die OWASP Top 10?

Q: Was sind die OWASP Top 10 (2021) Kategorien?

A1: Injection Injection-Fehler können eingeführt werden, wenn eine nicht vertrauenswürdige Datenquelle an einen Interpreter gesendet wird. Beispiele hierfür finden sich häufig in SQL-, LDAP-, XPath- oder NoSQL-Datenbankabfragen mit Benutzereingaben. Angreifer fügen Code in die Benutzereingabe ein und bringen den Abfrage-Interpreter dazu, bösartige Befehle auszuführen. Was macht eine Anwendung anfällig für Injection-Fehler? Die von den Benutzern bereitgestellten Daten werden nicht ausreichend validiert. Dynamische Abfragen werden ohne ausreichende Bereinigung der Eingaben ausgeführt. Feindliche Daten, die in Systemen für böswilliges Verhalten verwendet werden. Was sind die Auswirkungen von Injektionsfehlern? Kompromittierung der Anwendung oder des zugrunde liegenden Hosts. Offenlegung von sensiblen Daten. Verlust von Produktivität, Ansehen oder Einnahmen. Wie kann Fortify bei Injektionsfehlern helfen? Wenn Sie ein Entwickler sind: Fortify erkennt Injektionsfehler und bietet typspezifische Empfehlungen zur Behebung. Wenn Sie in der Qualitätssicherung oder im Betrieb tätig sind: Fortify validiert den Code zur Laufzeit auf abschwächende Kontrollen. Wenn Sie im Bereich Operations tätig sind: Fortify bietet Laufzeitprotokollierung und Schutz für Java- und .NET-Injektionsversuche.

Illustration von IT-Elementen mit Schwerpunkt auf einem Fragezeichen

Übersicht

Das Open Web Application Security Project (OWASP) ist eine Open-Source-Community für Anwendungssicherheit mit dem Ziel, die Sicherheit von Software zu verbessern. Die OWASP Top 10 ist ein Industriestandard, der die kritischsten Anwendungssicherheitsrisiken auflistet, um Entwicklern dabei zu helfen, die von ihnen entworfenen und bereitgestellten Anwendungen besser zu schützen.

Da sich Sicherheitsrisiken ständig weiterentwickeln, wird die OWASP-Top-10-Liste regelmäßig überarbeitet, um diese Änderungen zu berücksichtigen. In der letzten Version der OWASP Top 10, die im Jahr 2021 veröffentlicht wurde, wurden einige Arten von Sicherheitslücken, die keine ernsthafte Bedrohung mehr darstellen, durch solche ersetzt, die höchstwahrscheinlich ein erhebliches Risiko darstellen.

Die OWASP Top 10 ist zwar ein guter Ausgangspunkt für die Absicherung von Anwendungen, sollte aber nicht als Endziel betrachtet werden, da einige der am häufigsten genannten Schwachstellen es nicht in die OWASP Top 10 2021 geschafft haben. Um sich vor Software-Schwachstellen zu schützen, müssen die Verteidiger ihre Informationstechnologie breiter aufstellen. Das bedeutet, dass IT-Sicherheitsexperten sich auf das gesamte Software-Ökosystem konzentrieren und über die "traditionellen" Quellen von Schwachstellen hinausschauen müssen.

OWASP Top 10

Was sind die OWASP Top 10 (2021) Kategorien?

A1: Injektion

Injection-Fehler können immer dann auftreten, wenn eine nicht vertrauenswürdige Datenquelle an einen Interpreter gesendet wird. Beispiele hierfür finden sich häufig in dynamischen SQL-, LDAP-, XPath- oder NoSQL-Datenbankabfragen mit Benutzereingaben. Angreifer fügen Code in die Benutzereingabe ein und bringen den Abfrage-Interpreter dazu, bösartige Befehle auszuführen.

Was macht eine Anwendung anfällig für Injektionsfehler?

Die von den Nutzern bereitgestellten Daten werden nicht ausreichend validiert.
Dynamische Abfragen werden ohne ausreichende Bereinigung der Eingaben ausgeführt.
Feindliche Daten, die in Systemen für böswilliges Verhalten verwendet werden.

Welche Auswirkungen haben Injektionsfehler?

Beeinträchtigung der Anwendung oder des zugrunde liegenden Hosts.
Offenlegung von sensiblen Daten.
Produktivitäts-, Reputations- oder Einnahmeverluste.

Wie kann Fortify bei Injektionsfehlern helfen?

Wenn Sie ein Entwickler sind: Fortify erkennt Injektionsschwachstellen und bietet typspezifische Empfehlungen zur Behebung.
Wenn Sie in der Qualitätssicherung oder im Betrieb tätig sind: Fortify validiert den Code zur Laufzeit auf abschwächende Kontrollen.
Wenn Sie im operativen Bereich tätig sind: Fortify bietet Laufzeitprotokollierung und Schutz vor Java- und .NET-Injektionsversuchen.

A2: Unvollständige Authentifizierung

Bei der Verwaltung von Identitäts- oder Sitzungsdaten in zustandsabhängigen Anwendungen kann es zu einer fehlerhaften Authentifizierung kommen. Beispiele werden häufig gefunden, wenn Registrierung, Wiederherstellung von Anmeldeinformationen und API-Pfade anfällig für nicht abgelaufene Sitzungs-Tokens, Brute-Forcing oder Kontoaufzählung sind. Angreifer nehmen die Identität von legitimen Benutzern an, übernehmen die Kontrolle über Konten und gefährden Daten, Prozesse oder Systeme.

Was macht eine Anwendung anfällig für eine fehlerhafte Authentifizierung?

Macht Sitzungs-IDs sichtbar, macht sie nicht richtig ungültig oder dreht sie nicht.
Die Passwortrichtlinien sind nicht mit Standards wie NIST 800-63B abgestimmt.
Fehlt die Zwei-Faktor-Authentifizierung (2FA) oder erlaubt automatisierte Angriffe.

Welche Auswirkungen hat eine gestörte Authentifizierung?

Diebstahl der Benutzeridentität.
Verlust des Vertrauens der Nutzer.
Kompromittierung von sensiblen Daten.

Wie kann Fortify helfen?

Wenn Sie Entwickler sind: Fortify erkennt und empfiehlt Abhilfemaßnahmen für Probleme bei der Authentifizierung.
Wenn Sie in der Qualitätssicherung oder im Betrieb tätig sind: Fortify validiert die Authentifizierungs- und Sitzungsverwaltungssicherheit dynamisch.
Wenn Sie im operativen Bereich tätig sind: Fortify bietet Laufzeitüberwachung für Java- und .NET-Anwendungsereignisse.

A3: Gefährdung sensibler Daten

Wenn Anwendungen auf unverschlüsselte Daten zugreifen, insbesondere auf personenbezogene Daten (PII) und andere regulierte Datentypen, kann es zu Problemen mit der Gefährdung sensibler Daten kommen. Beispiele dafür finden sich häufig, wenn schwache kryptografische Verschlüsselungen in älteren Anwendungen verwendet werden, sichere Transportprotokolle falsch implementiert sind oder keine datenzentrierte Sicherheit verwendet wird. Angreifer verschaffen sich Zugang zu sensiblen Benutzerdaten, die ihnen im wirklichen Leben Kontrolle verschaffen.

Was macht eine Anwendung anfällig für die Offenlegung sensibler Daten?

Übertragung von Daten im Klartext über Protokolle wie HTTP, SMTP und FTP.
Sensible Daten werden unnötigerweise im Klartext gespeichert, übertragen oder verwendet.
Verwendung alter, schwacher oder nicht auf Standards basierender kryptografischer Algorithmen.

Welche Auswirkungen hat die Offenlegung sensibler Daten?

Kompromittierung von regulierten Daten (z.B. HIPAA oder GDPR), was zu Geldstrafen führt.
Identitätsdiebstahl, der zu Kosten für die Bereinigung oder Überwachung von Daten führt.
Nichtkonformität mit Datenschutzgesetzen und -vorschriften.

Wie kann Fortify bei der Offenlegung sensibler Daten helfen?

Wenn Sie ein Entwickler sind: Fortify identifiziert die Gefährdung durch sensible Daten und automatisiert die Prüfung von Problemen.
Wenn Sie in der QA oder im Betrieb tätig sind: Fortify entfernt Feststellungen, die außerhalb des Anwendungskontextes mit Templates abgeschwächt wurden.
Wenn Sie im operativen Geschäft sind: Fortify Instruments Protokollierung und Schutz für Anwendungen in Java und .NET.

A4: Externe XML-Entitäten

XML External Entity-Probleme können auftreten, wenn eine XML-Eingabe, die einen Verweis auf eine externe Entität enthält, von einem schwach konfigurierten Parser verarbeitet wird. Beispiele finden sich häufig in Anwendungen, die XML-Eingaben aus nicht vertrauenswürdigen Quellen parsen, wenn Document Type Definitions (DTDs) aktiviert sind oder nicht gepatchte Frameworks wie SOAP 1.0 verwenden. XML ist allgegenwärtig - von SVG und Bilddateien bis hin zu Netzwerkprotokollen und Dokumentenformaten wie PDF und RSS. Angreifer verweisen in XML-Eingaben auf externe Entitäten, was dazu führt, dass Prozessoren ausgenutzt werden, um Daten zu extrahieren, Code aus der Ferne auszuführen oder Netzwerkdienste zu beeinflussen.

Was macht eine Anwendung anfällig für externe XML-Entitäten?

Die Anwendung parst XML-Dokumente und die Prozessoren haben DTDs aktiviert.
Verwendung von SAML für SSO, SOAP vor v1.2 oder .NET Framework vor v2.0.
Der Parser nimmt nicht vertrauenswürdige Quellen an oder fügt nicht vertrauenswürdige XML-Daten ein.

Welche Auswirkungen haben externe XML-Entitäten?

Diebstahl von sensiblen Daten.
Laden einer vom Angreifer kontrollierten URL.
Denial-of-Service-Angriffe (DoS).

Wie kann Fortify bei externen XML-Entitäten helfen?

Wenn Sie ein Entwickler sind: Fortify erkennt anfällige XML-Parser und empfiehlt Abhilfemaßnahmen.
Wenn Sie in der Qualitätssicherung oder im Betrieb tätig sind: Fortify scannt automatisch nach anfälligen XML-Parsern und validiert Exploit-Nutzdaten.
Wenn Sie im operativen Bereich tätig sind: Fortify bietet Laufzeitprotokollierung und Schutz für Probleme in Java- und .NET-Anwendungen.

A5: Defekte Zugangskontrolle

Probleme bei der Zugangskontrolle können auftreten, wenn sich Code- und Umgebungsbeschränkungen unvollständig überschneiden oder an mehreren Stellen für ähnliche Funktionen definiert sind. Beispiele finden sich häufig, wenn die Sicherheit durch Unbedenklichkeit durch erzwungenes Browsen zu eingeschränkten Seiten gebrochen wird oder wenn die Anwendung komplexe Methoden für die Zugriffskontrolle auf verschiedene Arten und an verschiedenen Stellen definiert. Angreifer können die Zugangsgrenzen überwinden, um sensible Daten zu stehlen oder den Betrieb zu stören.

Was macht eine Anwendung anfällig für eine fehlerhafte Zugriffskontrolle?

Die Möglichkeit, als Benutzer ohne Login oder als Administrator zu agieren, wenn man als Benutzer eingeloggt ist.
Manipulation von Metadaten oder Token für nicht autorisierte oder erhöhte Privilegien.
Byzantinische, nicht durchgesetzte oder verstreute Zugangskontrolllogik.

Welche Auswirkungen hat eine unterbrochene Zugangskontrolle?

Unbefugte Offenlegung von Informationen oder Kompromittierung sensibler Daten.
Änderung oder Zerstörung von Daten.
Übernahme der Verwaltung der Website oder der Benutzer.

Wie kann Fortify bei Problemen mit der Zugangskontrolle helfen?

Wenn Sie ein Entwickler sind: Fortify automatisiert die Prüfung und ermöglicht die Erstellung von Vorlagen zur Beseitigung von Problemen, die an anderer Stelle entschärft wurden.
Wenn Sie in der Qualitätssicherung und im Betrieb tätig sind: Fortify-Agenten erkennen versteckte Angriffsflächen und defekte Zugangskontrollsysteme.
Wenn Sie im Bereich Operations tätig sind: Fortify ist ein Instrument zur Protokollierung der Zugriffskontrolle zur Laufzeit für Java- und .NET-Anwendungen.

A6: Falsche Sicherheitskonfiguration

Fehler in der Sicherheitskonfiguration können bei der Konfiguration der Anwendung oder der ihr zugrunde liegenden Umgebung auftreten. Fehlkonfigurationen können auf jeder Ebene eines Anwendungsstapels auftreten - von Netzwerkdiensten und Anwendungsservern bis hin zu Containern und Speicher. Beispiele hierfür finden sich häufig in Standardkonten und -konfigurationen, "undichten" Fehlermeldungen oder nicht gepatchten Frameworks und Diensten. Angreifer können sich Informationen über die Bereitstellung und Zugang zu privilegierten Daten verschaffen, um den Betrieb zu stören.

Was macht eine Anwendung anfällig für eine falsche Sicherheitskonfiguration?

Unnötigerweise aktivierte Standardports und -konten oder unveränderte Kennwörter.
Anzeige von Stack Trace oder anderen Meldungen bei Fehlern und Ausnahmen.
Keine angemessene Härtung der Sicherheit für das Risiko, das von einem Teil des Stacks ausgeht.

Welche Auswirkungen hat eine falsche Sicherheitskonfiguration?

Die Auswirkungen können von der Offenlegung von Informationen bis hin zur vollständigen Kompromittierung des Systems reichen.

Wie kann Fortify bei Sicherheitsfehlkonfigurationen helfen?

Wenn Sie ein Entwickler sind: Fortify identifiziert bei Scans Anwendungsabhängigkeiten und Konfigurationsdateien.
Wenn Sie in den Bereichen QA und Betrieb tätig sind: Fortify wertet Anwendungs- und Serverkonfigurationen dynamisch auf Probleme aus.
Wenn Sie im operativen Bereich tätig sind: Fortify bietet Open-Source-Analysen für die Berichterstattung über Umweltrisiken.

A7: Cross-Site-Scripting

Cross-Site-Scripting (XSS)-Fehler können auftreten, wenn nicht vertrauenswürdige, nicht sanitisierte Benutzereingaben als Teil des HTML ausgeführt werden oder wenn Benutzer dazu gebracht werden können, mit bösartigen Links zu interagieren. Beispiele finden sich häufig, wenn vertraute Codekonstrukte aus Sprachen wie JavaScript oder Flash aus nicht vertrauenswürdigen Quellen akzeptiert oder zur späteren Anzeige durch einen anderen Benutzeragenten gespeichert werden. Angreifer können Remotecode auf dem Computer des Benutzers ausführen, Anmeldedaten stehlen oder Malware von umgeleiteten Websites aus versenden.

Was macht eine Anwendung anfällig für Cross-Site-Scripting (XSS)?

Es gibt drei Formen von XSS, die in der Regel auf Benutzeragenten wie Browser abzielen:

Reflected XSS: Die Anwendung oder API enthält nicht vertrauenswürdige Eingaben in der HTML-Ausgabe.
Gespeicherter XSS: Auf der Festplatte gespeicherter, nicht sanitisierter Code wird später durch eine Benutzeraktion ausgelöst.
DOM XSS: Anwendungen, Frameworks und APIs, die nicht vertrauenswürdige Eingaben verbrauchen.

Welche Auswirkungen hat Cross-Site Scripting (XSS)?

Übernahme des Kontos des Opfers in der Anwendung.
Abruf von Daten aus der Ziel-Webanwendung.
Änderung des Inhalts der Seite.

Wie kann Fortify bei Cross-Site-Scripting (XSS) helfen?

Wenn Sie ein Entwickler sind: Fortify erkennt XSS-Schwachstellen im Code und prognostiziert die Wahrscheinlichkeit eines Angriffs.
Wenn Sie in der Qualitätssicherung und im Betrieb tätig sind: Fortify validiert Code dynamisch auf nicht sanitisierte Eingaben, die für XSS anfällig sind.
Wenn Sie im operativen Bereich tätig sind: Fortify bietet Protokollierung für Java- und .NET-Ereignisse, einschließlich unautorisierter Umleitungen.

A8: Unsichere Deserialisierung

Unsichere Deserialisierungsfehler können auftreten, wenn Sprachen und Frameworks es zulassen, dass nicht vertrauenswürdige serialisierte Daten in ein Objekt expandiert werden, was häufig der Fall ist, wenn Webanwendungen Benutzerdaten übertragen oder den Anwendungsstatus speichern. Beispiele finden sich häufig, wenn Entwickler keine Einschränkungen für Methoden festlegen, die während des Deserialisierungsprozesses selbst ausgeführt werden können. Angreifer nutzen diese "Gadget-Ketten", die außerhalb der Anwendungslogik aufgerufen werden, um aus der Ferne Code auszuführen, Dienste zu verweigern oder unberechtigten Zugriff zu erhalten.

Was macht eine Anwendung anfällig für eine unsichere Deserialisierung?

Die Anwendung deserialisiert Daten aus nicht vertrauenswürdigen Quellen.
Die Anwendung prüft die Quelle oder den Inhalt vor der Deserialisierung nicht.
Zulässige Klassen werden nicht in eine Whitelist aufgenommen, um eine unnötige Belastung durch Gadgets zu vermeiden.

Welche Auswirkungen hat die unsichere Deserialisierung?

Diese Schwachstellen können zu Angriffen mit entfernter Codeausführung führen, einem der schwerwiegendsten möglichen Angriffe.

Wie kann Fortify bei unsicherer Deserialisierung helfen?

Wenn Sie ein Entwickler sind: Fortify spürt Schwachstellen im Quellcode auf und bietet eine Komponentenanalyse.
Wenn Sie in der Qualitätssicherung und im Betrieb tätig sind: Fortify-Instrumente für dynamisch laufende Anwendungen zur Überprüfung von Angriffsvektoren.
Wenn Sie im operativen Bereich tätig sind: Fortify Instrumente für die Protokollierung von Java- und .NET-Ereignissen einschließlich Deserialisierung.

A9: Verwendung von Komponenten mit bekannten Sicherheitslücken

Diese Schwachstellen können auftreten, wenn Open-Source-Frameworks oder Bibliotheken von Drittanbietern in eine Anwendung integriert werden und mit denselben Berechtigungen ausgeführt werden. Beispiele finden sich häufig dort, wo die komponentenbasierte Entwicklung zu einem mangelnden Verständnis der mit Abhängigkeiten verbundenen Risiken führt und Komponenten oder Systeme nur schwer oder gar nicht gepatcht werden können. Angreifer haben anfällige Komponenten für einige der größten Einbrüche in der Geschichte ausgenutzt, wobei die Schwachstellen von der Kompromittierung von Anwendungen bis zur Remotecodeausführung reichen können.

Was macht eine Anwendung anfällig für Open-Source- oder Drittanbieter-Frameworks und -Bibliotheken?

Diese können zufällig sein (z. B. Kodierungsfehler) oder absichtlich (z. B. Backdoored-Komponente).
Die Anwendung oder Umgebung verwendet ungepatchte oder veraltete Komponenten (einer der Gründe, warum die Modernisierung von Anwendungen unerlässlich ist).
Fehlende Überprüfung auf Schwachstellen im Code von Drittanbietern oder in verschachtelten Abhängigkeiten.
Nicht verfügbare Komponentenverzeichnisse oder ignorierte Sicherheitsbulletins.

Welche Auswirkungen hat die Verwendung von Komponenten mit bekannten Sicherheitslücken?

Während einige bekannte Schwachstellen nur geringe Auswirkungen haben, beruhen einige der größten bekannten Sicherheitsverletzungen wie Heartbleed und Shellshock auf der Ausnutzung bekannter Schwachstellen in gemeinsam genutzten Komponenten. Die Verwendung von Komponenten mit bekannten Code-Schwachstellen kann zur Remotecode-Ausführung auf dem betroffenen Server führen und dem Angreifer die vollständige Kontrolle über den Rechner geben.

Wie kann Fortify bei der Open-Source-Sicherheit helfen?

Wenn Sie Entwickler sind: Fortify bietet die Analyse von Softwarekomponenten über Sonatype-Integrationen.
Wenn Sie in der Qualitätssicherung und im Betrieb tätig sind: Fortify automatisiert die dynamische Validierung von bekannten Schwachstellen zur Laufzeit.
Wenn Sie im operativen Bereich tätig sind: Fortify-Instrumente: Protokollierung und Schutz für Java- und .NET-Anwendungskomponenten.

A10: Unzureichende Protokollierung und Überwachung

Unzureichende Protokollierungs- und Überwachungsfehler können auftreten, wenn die Angriffsvektoren oder das Fehlverhalten von Anwendungen nicht genau bekannt sind oder die bewährten Verfahren zur Überwachung von Anzeichen einer Gefährdung nicht befolgt werden. Beispiele hierfür finden sich häufig in Altsystemen ohne Protokollierungsfunktionen, wenn Protokolle von Anwendungs-Penetrationstests nicht untersucht werden oder wenn Protokolle nicht genügend Details enthalten, um zu verstehen, was Angreifer getan haben. Angreifer benötigen im Durchschnitt etwa 200 Tage für die Entdeckung, die in der Regel von außen entdeckt wird, um sich zu etablieren und auf weitere anfällige Systeme überzugehen.

Was macht eine Anwendung anfällig für unzureichende Protokollierung und Überwachung?

Warnungen und Fehler erzeugen keine, unzureichende oder unklare Protokollmeldungen.
Die Protokolle werden lokal ohne Manipulationskontrolle gespeichert und/oder nicht überwacht.
Alarmschwellen und Reaktionsverfahren sind unzureichend oder führen zu keinen Maßnahmen.

Welche Auswirkungen hat eine unzureichende Protokollierung und Überwachung?

Die meisten erfolgreichen Angriffe beginnen mit dem Ausloten von Schwachstellen. Wenn man solche Sondierungen weiterhin zulässt, kann sich die Wahrscheinlichkeit eines erfolgreichen Angriffs erhöhen. Angreifer können eine Persistenz aufbauen, Anwendungen und Betriebssysteme hintertürmen, Daten stehlen oder auf andere Weise unbemerkt und unbefugt Kontrolle über Systeme erlangen. Wenn sicherheitskritische Informationen nicht entsprechend aufgezeichnet oder gespeichert werden, gibt es keine Spur für forensische Analysen, um die Quelle des Angriffs zu ermitteln. Die Erkenntnis, dass es überhaupt ein Problem gibt, kann schwieriger oder gar unmöglich werden, wenn der Angreifer die Kontrolle über die Protokollierungsfunktionen behält.

Wie kann Fortify bei unzureichender Protokollierung und Überwachung helfen?

Wenn Sie Entwickler sind: Fortify scannt die Protokollierungsfunktionen in Anwendungen und APIs auf Schwachstellen.
Wenn Sie in der Qualitätssicherung und im Betrieb tätig sind: Fortify Dynamic Scans erzeugen Anwendungsprotokolle zur Überprüfung der Angemessenheit, ähnlich wie Pen-Tests.
Wenn Sie im Bereich Operations tätig sind: Fortify Instrumente: Protokollierung und Schutz für Java- und .NET-Anwendungen.

Was gibt es Neues bei OWASP (2021)?

Obwohl es nur vier Jahre her ist, dass die letzte Top 10 im Jahr 2017 veröffentlicht wurde, hat es in der Cybersicherheitsbranche viele Veränderungen gegeben, die uns dazu veranlasst haben, zweimal über die wichtigsten Anliegen nachzudenken oder neue hinzuzufügen.

Es wurden drei neue Kategorien eingeführt:

A04:2021

Unsicheres Design: Diese Kategorie befasst sich mit Designmängeln. Dies ist notwendig, weil der Linksruck in der Entwicklung auch einen Linksruck in der Bedrohungsmodellierung erfordert.

A08:2021

Software- und Datenintegritätsmängel: Konzentriert sich auf Annahmen in Bezug auf Software-Updates, kritische Daten und die CI/CD-Pipeline, ohne die Integrität zu überprüfen, die sie beeinflussen können. Dies beinhaltet auch die A08:2017 - Unsichere Deserialisierung.

A10:2021

Server-Side Request Forgery (SSRF): Diese Kategorie ist meist in den Top 10 der Community-Umfrage vertreten. Sie haben diese Schwachstelle wegen ihrer überdurchschnittlichen Ausnutzbarkeit und ihrer Auswirkungen besonders hervorgehoben.

Andere Änderungen

Die anderen Kategorien wurden entweder umbenannt, verschoben oder in anderen Kategorien zusammengefasst:

A01:2017 - Injektion wurde nach A:03 verschoben.
A02:2017 - Gebrochene Authentifizierung wurde in Identifizierungs- und Authentifizierungsfehler umbenannt und nach A07 verschoben.
A03:2017 - Sensitive Data Exposure wurde nach A02 verschoben und in Cryptographic Failures umbenannt, um die Grundursache und nicht nur die Symptome zu behandeln.
A05:2017 - Broken Access Control wurde nach A01 verschoben, da 94% der getesteten Anwendungen eine Form von Broken Access Control aufwiesen.
A06:2017 - Security Misconfiguration wurde um einen Platz nach A05 verschoben.
A07:2017 - Cross-Site Scripting (XSS) wurde in A03 Injection zusammengefasst.
A09:2017 - Verwendung von Komponenten mit bekannten Schwachstellen wurde nach A06 verschoben und in Anfällige und veraltete Komponenten umbenannt. Diese Änderung war in hohem Maße darauf zurückzuführen, dass die Gemeinschaft sie auf Platz 2 ihrer Liste setzte.
A10:2017 - Unzureichende Protokollierung & Überwachung wurde nach A09 verschoben und heißt jetzt Sicherheitsprotokollierung und Überwachungsfehler.

Möchten Sie wissen, wie Fortify Ihrem Unternehmen helfen kann? Starten Sie jetzt Ihre kostenlose 15-Tage-Testversion von Fortify on Demand by OpenText™