【文章內(nèi)容簡(jiǎn)介】 Software的產(chǎn)品主要為軟件源代碼掃描器，軟件應(yīng)用監(jiān)控， 滲透測(cè)試覆蓋率檢測(cè)等。公司擁有150多項(xiàng)專(zhuān)利，居行業(yè)之首。目前全球已有600家客戶(hù)，其中銀行，保險(xiǎn)，證券占一半以上。全球8大銀行如匯豐，花旗，WellsFargo， Morgan已全部采用Fortify Software的解決方案。其他領(lǐng)域的客戶(hù)為電子商務(wù)類(lèi)的eBay, Google, 軟件廠(chǎng)商O(píng)racle，Microsoft 和EMC等以及政府部門(mén)。 2008年4月Fortify Software 在中國(guó)設(shè)立了北京代表處，并對(duì)產(chǎn)品的關(guān)鍵內(nèi)容進(jìn)行了漢化, 2010年Fortify被HP收購(gòu)，統(tǒng)一納入惠普企業(yè)安全產(chǎn)品部ESP，成為其重要組成部分。 部分國(guó)際客戶(hù)名單國(guó)內(nèi)的主要客戶(hù)： Gartner權(quán)威機(jī)構(gòu)最新排名Fortify解決方案一直在AST(應(yīng)用安全測(cè)試領(lǐng)域)排名全球第一，如下圖是2014年最新的排名，依然遙遙領(lǐng)先 Fortify ALM 解決方案集成。 AIX操作系統(tǒng)的支持， AIX操作系統(tǒng)的 增加了對(duì)Java 8 的支持 SSC BIRT報(bào)表系統(tǒng)的支持得到了增強(qiáng)， 。（注：BIRT (Business Intelligence and Reporting Tools), 是為 Web 應(yīng)用程序開(kāi)發(fā)的基于 Eclipse 的開(kāi)源報(bào)表系統(tǒng)） 在報(bào)告模板中增加了OWASP TOP 10 2013的支持，之前的版本僅支持OWASP2010 ，(注:PCI ，所有銀行、第三方支付，以及涉及到銀行卡支付的企業(yè)都要遵循的國(guó)際標(biāo)準(zhǔn)) ，增加了可以重用的報(bào)表庫(kù)，方便客戶(hù)進(jìn)行報(bào)表的自定義。 對(duì)IE8的支持， Studio 2013的支持 增加了對(duì)Windows 2012, Windows 8, and Windows 增加了對(duì)Xcode 的支持(注：Xcode 是蘋(píng)果公司開(kāi)發(fā)的編程軟件，是開(kāi)發(fā)人員建立OS X 和 iOS 應(yīng)用程序的最快捷方式，Xcode前身是繼承自NeXT的Project Builder。The Xcode suite 包含有GNU Compiler Collection自由軟件 （GCC、 以及 , 默認(rèn)的是第一個(gè)），并支持 C語(yǔ)言、C++、Fortran、ObjectiveC、ObjectiveC++、Java、AppleScript、Python以及Ruby，還提供Cocoa、Carbon以及Java等編程模式。協(xié)力廠(chǎng)商更提供了 GNU Pascal，F(xiàn)ree Pascal, Ada, C, Perl, Haskell 和 D語(yǔ)言。Xcode套件使用 GDB作為其后臺(tái)調(diào)試工具。)8 附件一：OWASP應(yīng)用安全Top 10安全漏洞及控制措施示例本指南引用了OWASP(Opening Web Application Security Project)Top 10應(yīng)用開(kāi)發(fā)弱點(diǎn)清單，并列出相應(yīng)的控制措施。 應(yīng)用開(kāi)發(fā)弱點(diǎn)的原始清單應(yīng)用系統(tǒng)弱點(diǎn)描述A1 Cross Site Scripting (XSS)XSS flaws occur whenever an application takes user supplied data and sends it to a web browser without first validating or encoding that content. XSS allows attackers to execute script in the victim39。s browser which can hijack user sessions, deface web sites, possibly introduce worms, etc. A2 Injection FlawsInjection flaws, particularly SQL injection, are mon in web applications. Injection occurs when usersupplied data is sent to an interpreter as part of a mand or query. The attacker?39。s hostile data tricks the interpreter into executing unintended mands or changing data. A3 Malicious File Execution CodeCode vulnerable to remote file inclusion (RFI) allows attackers to include hostile code and data, resulting in devastating attacks, such as total server promise. Malicious file execution attacks affect PHP, XML and any framework which accepts filenames or files from users. A4 Insecure Direct Object Reference A direct object reference occurs when a developer exposes a reference to an internal implementation object, such as a file, directory, database record, or key, as a URL or form parameter. Attackers can manipulate those references to access other objects without authorization. A5 Cross Site Request Forgery (CSRF)A CSRF attack forces a loggedon victim?39。s browser to send a preauthenticated request to a vulnerable web application, which then forces the victim?39。s browser to perform a hostile action to the benefit of the attacker. CSRF can be as powerful as the web application that it attacks. A6 Information Leakage and Improper Error HandlingApplications can unintentionally leak information about their configuration, internal workings, or violate privacy through a variety of application problems. Attackers use this weakness to steal sensitive data, or conduct more serious attacks. A7 Broken Authentication and Session ManagementAccount credentials and session tokens are often not properly protected. Attackers promise passwords, keys, or authentication tokens to assume other users?39。 identities. A8 Insecure Cryptographic StorageWeb applications rarely use cryptographic functions properly to protect data and credentials. Attackers use weakly protected data to conduct identity theft and other crimes, such as credit card fraud. A9 Insecure Communications Applications frequently fail to encrypt network traffic when it is necessary to protect sensitive munications. A10 Failure to Restrict URL Access Frequently, an application only protects sensitive functionality by preventing the display of links or URLs to unauthorized users. Attackers can use this weakness to access and perform unauthorized operations by accessing those URLs directly. 跨站腳本攻擊(Cross Site Scripting XSS) 描述在允許代碼注入的Web應(yīng)用程序中常?？梢园l(fā)現(xiàn)XSS脆弱性。利用這種弱點(diǎn)的腳本可能來(lái)自服務(wù)器，但它們并不在那里執(zhí)行；相反，它們?cè)诳蛻?hù)端工作站上執(zhí)行。有兩種基本的XSS脆弱性：反射式和存儲(chǔ)式的XSS脆弱性。反射式脆弱性是最常見(jiàn)的形式。當(dāng)用戶(hù)可以向一個(gè)文本框中輸入語(yǔ)法內(nèi)容，然后在用戶(hù)的顯示器上顯示出來(lái)時(shí)，往往存在這種脆弱性。當(dāng)一名攻擊者用這種脆弱性定位一個(gè)頁(yè)面時(shí)，他只需簡(jiǎn)單地在框中輸入腳本。當(dāng)頁(yè)面再次顯示輸入的文本時(shí)，腳本就開(kāi)始執(zhí)行。許多時(shí)候，必須使用社會(huì)工程使用戶(hù)訪(fǎng)問(wèn)一個(gè)專(zhuān)門(mén)制作的URL來(lái)發(fā)動(dòng)攻擊。這樣做可能導(dǎo)致在頁(yè)面中插入攻擊者的腳本（Jeremiah Grossman，《跨站腳本蠕蟲(chóng)和病毒》，2006年4月）。存儲(chǔ)脆弱性就像它的名稱(chēng)指出的那樣。攻擊者向其他用戶(hù)經(jīng)常訪(fǎng)問(wèn)的網(wǎng)站，或網(wǎng)站的一個(gè)區(qū)域提交利用XSS弱點(diǎn)的代碼。這類(lèi)例子包括社交網(wǎng)絡(luò)網(wǎng)站和讀者對(duì)所發(fā)表內(nèi)容的評(píng)論。當(dāng)受害者的瀏覽器打開(kāi)被感染的網(wǎng)頁(yè)時(shí)，腳本不需要用戶(hù)干預(yù)即可自動(dòng)執(zhí)行。這是因?yàn)榇鎯?chǔ)的惡意腳本被瀏覽器看作是來(lái)自一個(gè)可信網(wǎng)站/服務(wù)器的腳本。下面是一個(gè)非常簡(jiǎn)單的存儲(chǔ)腳本攻擊實(shí)例。最初，腳本可能被插入到一個(gè)表單框中，并最終進(jìn)入大量用戶(hù)使用的論壇或其它服務(wù)中。例如，在一個(gè)在線(xiàn)論壇中發(fā)貼時(shí)，攻擊者可能會(huì)輸入以下腳本：scriptalert(39。Hello World39。)/script當(dāng)一個(gè)沒(méi)有疑心的用戶(hù)打開(kāi)論壇中的貼子時(shí)，這段腳本就會(huì)在用戶(hù)的工作站上運(yùn)行。其顯示結(jié)果是一段無(wú)害的文本，但如果腳本中包括以下代碼，情況就會(huì)有所不同：1. 顯示許可出錯(cuò)信息2. 提示用戶(hù)輸入密碼 3. 將密碼通過(guò)電子郵件發(fā)送到攻擊者的服務(wù)器 一旦攻擊者成功利用一個(gè)XSS脆弱性，他可以執(zhí)行大量的惡意行為，包括：4. 強(qiáng)制發(fā)送電子郵件消息 5. 轉(zhuǎn)賬 6. 刪除或修改數(shù)據(jù) 7. 使用受害者的工作站攻擊其它網(wǎng)站 8