https://wiki.owasp.org/api.php?action=feedcontributions&feedformat=atom&user=AlexiosOWASP - User contributions [en]2026-04-09T18:57:58ZUser contributionsMediaWiki 1.27.2https://wiki.owasp.org/index.php?title=Germany&diff=241590Germany2018-07-01T19:22:04Z<p>Alexios: </p>
<hr />
<div><br />
__NOTOC__<br />
=Willkommen=<br />
<div style="height:11em;">[[Image:OWASP_German_Chapter_WHITE_PNG.png|500px|right]]</div><br />
<!-- mediawiki ist zu dumm, um Bilder ordentlich darzustellen, darum das DIV mit style= --><br />
<br />
== Über OWASP ==<br />
OWASP ist eine unabhängige, weltweite Community mit dem Ziel, die Bedeutung der Sicherheit von Webanwendungen »sichtbar zu machen« Know-How zur Entwicklung und den Betrieb sicherer Webanwendungen zu verbreiten und frei zur Verfugung zu stellen. Sämtliche OWASP-Instrumente, wie Dokumente, Videos, Slides, Podcasts etc. sind kostenlos unter einer freien Lizenz verwendbar.<br />
<br />
OWASP ist frei, offen und herstellerunabhängig. Alle Interessierten sind herzlich willkommen etwa in [[:Category:OWASP Project|Projekten]] mitzuarbeiten oder nur am Wissen zu partizipieren. Eine prima Gelegenheit sich einen Eindruck zu verschaffen, sind die [[OWASP_German_Chapter_Stammtisch_Initiative|OWASP Stammtische]], die regelmäßig in vielen deutschen Großstädten stattfinden. <br />
<br />
== OWASP German Chapter ==<br />
OWASP organisiert sich in sogenannten [[OWASP Chapter|Chaptern]]. Eines davon ist das deutsche Chapter, auf dessen Seite ihr euch gerade befindet. Der Chapter Lead wird jährlich im [[Germany/Chapter_Meetings|Chapter Meeting]] gewählt. Derzeitiger Chapter Lead ist [mailto:tobias.glemser@owasp.org Tobias Glemser].<br />
<br />
Mitglieder im Chapter Board sind (in alphabetischer Reihenfolge):<br />
[mailto:achim@owasp.org Achim Hoffmann],<br />
[mailto:alexios.fakos@owasp.org Alexios Fakos],<br />
[mailto:bastian.braun@owasp.org Bastian Braun],<br />
[mailto:bjoern.kimminich@owasp.org Bjoern Kimminich],<br />
[mailto:boris@owasp.org Boris Hempkemeier],<br />
[mailto:christian.becker@owasp.org Christian Becker],<br />
Christian Dresen,<br />
[mailto:dirk@owasp.org Dirk Wetter],<br />
[mailto:hartwig.gelhausen@owasp.org Hartwig Gelhausen],<br />
[mailto:henrik.willert@owasp.org Henrik Willert],<br />
[mailto:ingo.hanke@owasp.org Ingo Hanke],<br />
[mailto:jan.wolff@owasp.org Jan Wolff],<br />
[mailto:kai@owasp.org Kai Jendrian],<br />
[mailto:martin.johns@owasp.org Martin Johns],<br />
[mailto:michael.schaefer@owasp.org Michael Schäfer],<br />
[mailto:ralf.reinhardt@owasp.org Ralf Reinhardt],<br />
Sven Schlüter,<br />
[mailto:tobias.glemser@owasp.org Tobias Glemser],<br />
[mailto:torsten.gigler@owasp.org Torsten Gigler]<br />
<br />
=Projekte=<br />
== Projekte des German Chapter ==<br />
<br />
Das German Chapter initiiert oder beteiligt sich an [[:Category:OWASP_Project|OWASP Projekten]]. Was das deutsche Chapter auf die Beine gestellt hat, kann sich blicken lassen! Ein Ausschnitt:<br />
<br />
* OWASP SSL advanced forensic tool - O-Saft<br />
* OWASP Juice Shop<br />
* OWASP Top 10 Privacy Risks Project<br />
* OWASP Top 10 für Entwickler<br />
* OWASP Top 10 2013: Deutsche Übersetzung<br />
* Best Practices: Web Application Firewalls<br />
<br />
Details findet ihr auf der Liste der [[Germany/Projekte|deutschen Projekte]].<br />
<br />
=Treffen=<br />
== OWASP Stammtisch-Initiative ==<br />
<br />
In mehreren Städten gibt es [[Germany/Stammtisch_Initiative|OWASP-Stammtische]], bei denen man sich in lockerer Runde trifft, um sich auszutauschen, nette Leute kennenzulernen oder ernsthafte Sicherheitsthemen zu diskutieren -- meinstens mit Vortrag.<br />
<br />
Aktive Stammtische gibt es (Stand August 2017) in: <br />
[[OWASP_German_Chapter_Stammtisch_Initiative/München|München]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt|Frankfurt]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Stuttgart|Stuttgart]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Köln|Köln]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Hamburg|Hamburg]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Karlsruhe|Karlsruhe]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Dresden|Dresden]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Ruhrpott|Ruhrpott]],<br />
[http://lists.owasp.org/pipermail/owasp-germany/2017-August/001012.html Heilbronn-Franken <b>(neu)</b>]<br />
<br />
== German OWASP Day ==<br />
<br />
Der [[German OWASP Day]] ist die jährlich stattfindende Konferez des German OWASP Chapter.<br />
Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge. <br />
<br />
Der letzte German OWASP Day [[German_OWASP_Day_2017|fand am 14.11.2017 in Essen statt]]. Der nächste wird voraussichtlich in Münster sein und befindet sich zur Zeit in Planung.<br />
<br />
== Chapter Meetings ==<br />
<br />
Das German Chapter trifft sich in unregelmäßigen Abständen, um die Arbeit innerhalb des German Chapter zu organisieren. Unser Chapter hat die Besonderheit, dass wir unter unserem Dach, die einzelnen Stammtische haben -- die in anderen Ländern als Chapter organisiert sind. Insofern sind<br />
unsere Chapter Meetings eine Mischung aus Vortrag und Organisation.<br />
<br />
Gemäß dem ''O'' in OWASP für ''open'' sind diese Treffen öffentlich. Jedermann kann daran teilnehmen und sich an der Arbeit im Chpater beteiligen. Der Termin zum Treffen -- Chapter Meeting -- wird auf dieser Seite bekannt gegegebn, zusammen mit der Agenda. Selbstverständlich sind auch alle Ergebnisse der Treffen öffentlich. Was auf den vergangenen Treffen jeweils besprochen / beschlossen wurde ist auf der [[Germany/Chapter_Meetings|Chapter Meetings]]-Seite zu finden.<br />
<br />
Das nächste Chapter Meeting wird am 11. April in Frankfurt stattfinden. Bitte meldet euch bei [mailto:tobias.glemser@owasp.org Tobias Glemser], falls ihr teilnehmen wollt. Eine OWASP Mitgliedschaft ist '''keine''' Voraussetzung zur Teilnahme! Lediglich für die Abstimmungen ist eine Mitgliedschaft notwendig. Details zu Agenda und Ort finden sich unter [[Germany/Chapter Meetings]].<br />
<br />
=Archiv=<br />
=== Aktuelleres / Historisches ===<br />
;14.11.2017: [[German_OWASP_Day_2017|9ter German OWASP Day in Essen]]<br />
;11./12.09.2017: [[Cheat Sheet Workshop|Cheat Sheet Workshop in Frankfurt]]<br />
;29.11.2016: [[German_OWASP_Day_2016|8ter German OWASP Day in Darmstadt]]<br />
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]<br />
;06.10.2015: Das OWASP German Chapter wird auch in diesem Jahr dank der Unterstützung der Nürnberg Messe auf der it-sa mit einem eigenen Stand (12.0-123) vertreten sein. Wir freuen uns auf spannende Gespräche am Stand. <br />
;13.04.2015: [https://lists.owasp.org/pipermail/owasp-germany/2015-March/000758.html German OWASP Chapter Meeting] in Frankfurt <br />
;23.01.2015: Übesetzung der '''OWASP Top 10 von 2013''' in Deutsch [[Germany/Projekte/Top_10|OWASP Top 10: Deutsche Übersetzung]]<br />
;09.12.2014: [[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]<br />
;14.03.2014: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind [[Germany/Chapter_Meetings|hier]] zu finden.<br />
;20. - 23.08.2013: Das German Chapter veranstaltete die [[AppSecEU2013|OWASP AppSec Europe Research 2013]].<br />
;10.08.2013: Partnerschaft mit dem [http://www.isaca.de/ ISACA Germany Chapter e.V.]: Zum Nutzen für Mitgleider beider Seiten wurde mit dem ISACA Germany Chapter e.V. eine Partnerschaft geschlossen. Die Partnerschaft ermöglicht es Mitgliedern des ISACA Germany Chapter e.V. an der OWASP AppSec Research 2013 zu vergünstigten Konditionen teilzunehmen. Das OWASP German Chapter erhält Gelegenheit auf ISACA Konferenzen präsent zu sein. Wir freuen uns sehr auf die Partnerschaft.<br />
;01.07.2013: Programm für AppSec Research EU 2013 ist [http://owaspappseceu2013.sched.org/ online] <!-- http://sched.appsec.eu/ ist Tracking-Seite, grrrr --><br />
;10.06.2013: Registrierung für AppSec Research EU 2013 ist hier <u>https://appsec.eu/registration/</u> .<br />
;17.05.2013: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind [[Germany/Chapter_Meetings|hier]] zu finden.<br />
;22.02.2013: German Chapter Meeting findet am '''17.05.2013''' in Frankfurt statt.<br />
;5.12.2012: Das German Chapter veranstaltet die [[AppSecEU2013|OWASP AppSec Europe Research 2013]].<br />
: The German Chapter is proud announcing [[AppSecEU2013|date and location]] of AppSecEU 2013.<br />
;10.11.2012: [[German_OWASP_Day_2012|German OWASP Day 2012]]:</u> Die hochrangige Websicherheitskonferenz war ein voller Erfolg: Dank gilt allen Besuchern -- gut ein Drittel mehr als letztes Jahr -- Sprechern und Sponsoren.<br />
;07.11.2012: [[Germany/Chaptersponsor|Chapter Sponsoring]] möglich.<br />
;03.11.2012: Webseite des [[Germany|OWASP German Chapter]] neu strukturiert.<br />
;10.09.2012: [[German_OWASP_Day_2012/Programm|Programm]] für [[German_OWASP_Day_2012|German OWASP Day 2012]] in München am 7.11.2012 steht<br />
;13.07.2012: Am Ende der AppSecEU 2012 wurde offiziell verkündet, dass das Deutsche Chapter die AppSec Research 2013 hostet. Ort Hamburg, Zeit: Juli <br />
;02.05.2012: Call for Presentations eröffnet für [[German_OWASP_Day_2012|German OWASP Day 2012]]. Ort: München<br />
<br />
Weitere Nachrichten sind [[Germany/Aktuelles|im Archiv]].<br />
<br />
=== Unsere Konferenzen ===<br />
<br />
;14.11.2017: [[German_OWASP_Day_2017|9ter German OWASP Day in Essen]]<br />
;29.11.2016: [[German_OWASP_Day_2016|8ter German OWASP Day in Darmstadt]]<br />
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]<br />
;09.12.2014: [[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]<br />
;20-23.08.2013: Das German Chapter organisierte die (europäische) [[AppSecEU2013|OWASP AppSec Europe Research 2013]].<br />
;7.11.2012: [[German_OWASP_Day_2012|German OWASP Day 2012]] in München<br />
<br />
Eine Liste aller vom OWASP German Chapter durchgeführten Konferenzen ist [[Germany/Konferenzen|hier]] zu finden.<br />
<br />
=Kontakt=<br />
=== So erreichen Sie uns ===<br />
<br />
;E-Mail: [mailto:germany-board@lists.owasp.org germany-board@lists.owasp.org]<br />
;Twitter: [https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]<br />
;Mailing-Liste: [https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org] [https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]<br />
<br />
Mitarbeit am OWASP German Chapter ist willkommen. Wir freuen uns auf Beiträge in unserer [https://lists.owasp.org/mailman/listinfo/owasp-germany Mailingliste]. Diese sollten natürlich einen Bezug zu (Web-)Anwendungssicherheit haben. Denkbar sind also u. A. Fragen, Tipps, aktuelle Hinweise, Stellenangebote oder Projektgesuche. Es gibt auch ein [https://lists.owasp.org/pipermail/owasp-germany Mailarchiv] von der Liste. Wenn Sie nicht an den Meetings teilnehmen können, kontaktieren Sie einfach einen der [[Germany|German Chapter Board Member]] oder schreiben Sie eine E-Mail an unsere [mailto:owasp-germany@lists.owasp.org Chapter Mailingliste].<br />
<br />
=== Presse ===<br />
<br />
Informationen für die Presse finden sich [[Germany/press|hier]].<br />
<br />
=Sponsoren=<br />
=== Sponsoren des German OWASP Chapters ===<br />
<br />
<!-- Sponsoren: bitte 3-spaltige Tabelle benutzen, damit genuegend Abstand zwischen den Bildern --><br />
{| style="background-color:inherit;" width="99%"<br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]<br />
|-<br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
| [[Image:Logo-bitinspect.png|160px|link=https://bitinspect.de|bitinspect.de]]<!--[[Image:Cyberday-logo_8700px_square.png|link=https://www.cyberday-gmbh.de|www.cyberday-gmbh.de]]--><br />
|-<br />
| <!--[[Image:Banner_TUViT.png|link=https://www.tuvit.de/de|www.tuvit.de]]--><br />
| <!--[[Image:binsec.png|link=http://www.binsec.de/|www.binsec.de]]--><br />
|-<br />
| [[Image:xing_logo.png|120px|link=https://corporate.xing.com/english/company/security-at-xing/|www.xing.com]]<br />
| <!--[[Image:acunetix_max_8700px.png|link=https://www.acunetix.com/|www.acunetix.com]]--><br />
|- |<br />
|-<br />
|<br />
| <br />
|- |<br />
|<br />
|<br />
|}<br />
<br />
Unser Angebot an Sponsoren / Offer for Chapter Sponsors: [[Germany/Chaptersponsor|OWASP German Chapter Sponsorship]].<br />
<br />
<br />
<headertabs></headertabs><br />
<br />
<small>(Kleines [[Germany/Website_HowTo|HowTo]] für die deutschen wiki-Seiten)</small><br />
<br />
[[Category:Germany]] <br />
[[Category:Europe]]<br />
[[Category:OWASP Chapter]]</div>Alexioshttps://wiki.owasp.org/index.php?title=File:Logo-bitinspect.png&diff=241589File:Logo-bitinspect.png2018-07-01T19:21:26Z<p>Alexios: Alexios uploaded a new version of File:Logo-bitinspect.png</p>
<hr />
<div></div>Alexioshttps://wiki.owasp.org/index.php?title=File:Logo-bitinspect.png&diff=241588File:Logo-bitinspect.png2018-07-01T19:20:18Z<p>Alexios: </p>
<hr />
<div></div>Alexioshttps://wiki.owasp.org/index.php?title=Germany&diff=241587Germany2018-07-01T19:18:11Z<p>Alexios: </p>
<hr />
<div><br />
__NOTOC__<br />
=Willkommen=<br />
<div style="height:11em;">[[Image:OWASP_German_Chapter_WHITE_PNG.png|500px|right]]</div><br />
<!-- mediawiki ist zu dumm, um Bilder ordentlich darzustellen, darum das DIV mit style= --><br />
<br />
== Über OWASP ==<br />
OWASP ist eine unabhängige, weltweite Community mit dem Ziel, die Bedeutung der Sicherheit von Webanwendungen »sichtbar zu machen« Know-How zur Entwicklung und den Betrieb sicherer Webanwendungen zu verbreiten und frei zur Verfugung zu stellen. Sämtliche OWASP-Instrumente, wie Dokumente, Videos, Slides, Podcasts etc. sind kostenlos unter einer freien Lizenz verwendbar.<br />
<br />
OWASP ist frei, offen und herstellerunabhängig. Alle Interessierten sind herzlich willkommen etwa in [[:Category:OWASP Project|Projekten]] mitzuarbeiten oder nur am Wissen zu partizipieren. Eine prima Gelegenheit sich einen Eindruck zu verschaffen, sind die [[OWASP_German_Chapter_Stammtisch_Initiative|OWASP Stammtische]], die regelmäßig in vielen deutschen Großstädten stattfinden. <br />
<br />
== OWASP German Chapter ==<br />
OWASP organisiert sich in sogenannten [[OWASP Chapter|Chaptern]]. Eines davon ist das deutsche Chapter, auf dessen Seite ihr euch gerade befindet. Der Chapter Lead wird jährlich im [[Germany/Chapter_Meetings|Chapter Meeting]] gewählt. Derzeitiger Chapter Lead ist [mailto:tobias.glemser@owasp.org Tobias Glemser].<br />
<br />
Mitglieder im Chapter Board sind (in alphabetischer Reihenfolge):<br />
[mailto:achim@owasp.org Achim Hoffmann],<br />
[mailto:alexios.fakos@owasp.org Alexios Fakos],<br />
[mailto:bastian.braun@owasp.org Bastian Braun],<br />
[mailto:bjoern.kimminich@owasp.org Bjoern Kimminich],<br />
[mailto:boris@owasp.org Boris Hempkemeier],<br />
[mailto:christian.becker@owasp.org Christian Becker],<br />
Christian Dresen,<br />
[mailto:dirk@owasp.org Dirk Wetter],<br />
[mailto:hartwig.gelhausen@owasp.org Hartwig Gelhausen],<br />
[mailto:henrik.willert@owasp.org Henrik Willert],<br />
[mailto:ingo.hanke@owasp.org Ingo Hanke],<br />
[mailto:jan.wolff@owasp.org Jan Wolff],<br />
[mailto:kai@owasp.org Kai Jendrian],<br />
[mailto:martin.johns@owasp.org Martin Johns],<br />
[mailto:michael.schaefer@owasp.org Michael Schäfer],<br />
[mailto:ralf.reinhardt@owasp.org Ralf Reinhardt],<br />
Sven Schlüter,<br />
[mailto:tobias.glemser@owasp.org Tobias Glemser],<br />
[mailto:torsten.gigler@owasp.org Torsten Gigler]<br />
<br />
=Projekte=<br />
== Projekte des German Chapter ==<br />
<br />
Das German Chapter initiiert oder beteiligt sich an [[:Category:OWASP_Project|OWASP Projekten]]. Was das deutsche Chapter auf die Beine gestellt hat, kann sich blicken lassen! Ein Ausschnitt:<br />
<br />
* OWASP SSL advanced forensic tool - O-Saft<br />
* OWASP Juice Shop<br />
* OWASP Top 10 Privacy Risks Project<br />
* OWASP Top 10 für Entwickler<br />
* OWASP Top 10 2013: Deutsche Übersetzung<br />
* Best Practices: Web Application Firewalls<br />
<br />
Details findet ihr auf der Liste der [[Germany/Projekte|deutschen Projekte]].<br />
<br />
=Treffen=<br />
== OWASP Stammtisch-Initiative ==<br />
<br />
In mehreren Städten gibt es [[Germany/Stammtisch_Initiative|OWASP-Stammtische]], bei denen man sich in lockerer Runde trifft, um sich auszutauschen, nette Leute kennenzulernen oder ernsthafte Sicherheitsthemen zu diskutieren -- meinstens mit Vortrag.<br />
<br />
Aktive Stammtische gibt es (Stand August 2017) in: <br />
[[OWASP_German_Chapter_Stammtisch_Initiative/München|München]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt|Frankfurt]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Stuttgart|Stuttgart]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Köln|Köln]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Hamburg|Hamburg]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Karlsruhe|Karlsruhe]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Dresden|Dresden]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Ruhrpott|Ruhrpott]],<br />
[http://lists.owasp.org/pipermail/owasp-germany/2017-August/001012.html Heilbronn-Franken <b>(neu)</b>]<br />
<br />
== German OWASP Day ==<br />
<br />
Der [[German OWASP Day]] ist die jährlich stattfindende Konferez des German OWASP Chapter.<br />
Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge. <br />
<br />
Der letzte German OWASP Day [[German_OWASP_Day_2017|fand am 14.11.2017 in Essen statt]]. Der nächste wird voraussichtlich in Münster sein und befindet sich zur Zeit in Planung.<br />
<br />
== Chapter Meetings ==<br />
<br />
Das German Chapter trifft sich in unregelmäßigen Abständen, um die Arbeit innerhalb des German Chapter zu organisieren. Unser Chapter hat die Besonderheit, dass wir unter unserem Dach, die einzelnen Stammtische haben -- die in anderen Ländern als Chapter organisiert sind. Insofern sind<br />
unsere Chapter Meetings eine Mischung aus Vortrag und Organisation.<br />
<br />
Gemäß dem ''O'' in OWASP für ''open'' sind diese Treffen öffentlich. Jedermann kann daran teilnehmen und sich an der Arbeit im Chpater beteiligen. Der Termin zum Treffen -- Chapter Meeting -- wird auf dieser Seite bekannt gegegebn, zusammen mit der Agenda. Selbstverständlich sind auch alle Ergebnisse der Treffen öffentlich. Was auf den vergangenen Treffen jeweils besprochen / beschlossen wurde ist auf der [[Germany/Chapter_Meetings|Chapter Meetings]]-Seite zu finden.<br />
<br />
Das nächste Chapter Meeting wird am 11. April in Frankfurt stattfinden. Bitte meldet euch bei [mailto:tobias.glemser@owasp.org Tobias Glemser], falls ihr teilnehmen wollt. Eine OWASP Mitgliedschaft ist '''keine''' Voraussetzung zur Teilnahme! Lediglich für die Abstimmungen ist eine Mitgliedschaft notwendig. Details zu Agenda und Ort finden sich unter [[Germany/Chapter Meetings]].<br />
<br />
=Archiv=<br />
=== Aktuelleres / Historisches ===<br />
;14.11.2017: [[German_OWASP_Day_2017|9ter German OWASP Day in Essen]]<br />
;11./12.09.2017: [[Cheat Sheet Workshop|Cheat Sheet Workshop in Frankfurt]]<br />
;29.11.2016: [[German_OWASP_Day_2016|8ter German OWASP Day in Darmstadt]]<br />
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]<br />
;06.10.2015: Das OWASP German Chapter wird auch in diesem Jahr dank der Unterstützung der Nürnberg Messe auf der it-sa mit einem eigenen Stand (12.0-123) vertreten sein. Wir freuen uns auf spannende Gespräche am Stand. <br />
;13.04.2015: [https://lists.owasp.org/pipermail/owasp-germany/2015-March/000758.html German OWASP Chapter Meeting] in Frankfurt <br />
;23.01.2015: Übesetzung der '''OWASP Top 10 von 2013''' in Deutsch [[Germany/Projekte/Top_10|OWASP Top 10: Deutsche Übersetzung]]<br />
;09.12.2014: [[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]<br />
;14.03.2014: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind [[Germany/Chapter_Meetings|hier]] zu finden.<br />
;20. - 23.08.2013: Das German Chapter veranstaltete die [[AppSecEU2013|OWASP AppSec Europe Research 2013]].<br />
;10.08.2013: Partnerschaft mit dem [http://www.isaca.de/ ISACA Germany Chapter e.V.]: Zum Nutzen für Mitgleider beider Seiten wurde mit dem ISACA Germany Chapter e.V. eine Partnerschaft geschlossen. Die Partnerschaft ermöglicht es Mitgliedern des ISACA Germany Chapter e.V. an der OWASP AppSec Research 2013 zu vergünstigten Konditionen teilzunehmen. Das OWASP German Chapter erhält Gelegenheit auf ISACA Konferenzen präsent zu sein. Wir freuen uns sehr auf die Partnerschaft.<br />
;01.07.2013: Programm für AppSec Research EU 2013 ist [http://owaspappseceu2013.sched.org/ online] <!-- http://sched.appsec.eu/ ist Tracking-Seite, grrrr --><br />
;10.06.2013: Registrierung für AppSec Research EU 2013 ist hier <u>https://appsec.eu/registration/</u> .<br />
;17.05.2013: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind [[Germany/Chapter_Meetings|hier]] zu finden.<br />
;22.02.2013: German Chapter Meeting findet am '''17.05.2013''' in Frankfurt statt.<br />
;5.12.2012: Das German Chapter veranstaltet die [[AppSecEU2013|OWASP AppSec Europe Research 2013]].<br />
: The German Chapter is proud announcing [[AppSecEU2013|date and location]] of AppSecEU 2013.<br />
;10.11.2012: [[German_OWASP_Day_2012|German OWASP Day 2012]]:</u> Die hochrangige Websicherheitskonferenz war ein voller Erfolg: Dank gilt allen Besuchern -- gut ein Drittel mehr als letztes Jahr -- Sprechern und Sponsoren.<br />
;07.11.2012: [[Germany/Chaptersponsor|Chapter Sponsoring]] möglich.<br />
;03.11.2012: Webseite des [[Germany|OWASP German Chapter]] neu strukturiert.<br />
;10.09.2012: [[German_OWASP_Day_2012/Programm|Programm]] für [[German_OWASP_Day_2012|German OWASP Day 2012]] in München am 7.11.2012 steht<br />
;13.07.2012: Am Ende der AppSecEU 2012 wurde offiziell verkündet, dass das Deutsche Chapter die AppSec Research 2013 hostet. Ort Hamburg, Zeit: Juli <br />
;02.05.2012: Call for Presentations eröffnet für [[German_OWASP_Day_2012|German OWASP Day 2012]]. Ort: München<br />
<br />
Weitere Nachrichten sind [[Germany/Aktuelles|im Archiv]].<br />
<br />
=== Unsere Konferenzen ===<br />
<br />
;14.11.2017: [[German_OWASP_Day_2017|9ter German OWASP Day in Essen]]<br />
;29.11.2016: [[German_OWASP_Day_2016|8ter German OWASP Day in Darmstadt]]<br />
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]<br />
;09.12.2014: [[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]<br />
;20-23.08.2013: Das German Chapter organisierte die (europäische) [[AppSecEU2013|OWASP AppSec Europe Research 2013]].<br />
;7.11.2012: [[German_OWASP_Day_2012|German OWASP Day 2012]] in München<br />
<br />
Eine Liste aller vom OWASP German Chapter durchgeführten Konferenzen ist [[Germany/Konferenzen|hier]] zu finden.<br />
<br />
=Kontakt=<br />
=== So erreichen Sie uns ===<br />
<br />
;E-Mail: [mailto:germany-board@lists.owasp.org germany-board@lists.owasp.org]<br />
;Twitter: [https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]<br />
;Mailing-Liste: [https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org] [https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]<br />
<br />
Mitarbeit am OWASP German Chapter ist willkommen. Wir freuen uns auf Beiträge in unserer [https://lists.owasp.org/mailman/listinfo/owasp-germany Mailingliste]. Diese sollten natürlich einen Bezug zu (Web-)Anwendungssicherheit haben. Denkbar sind also u. A. Fragen, Tipps, aktuelle Hinweise, Stellenangebote oder Projektgesuche. Es gibt auch ein [https://lists.owasp.org/pipermail/owasp-germany Mailarchiv] von der Liste. Wenn Sie nicht an den Meetings teilnehmen können, kontaktieren Sie einfach einen der [[Germany|German Chapter Board Member]] oder schreiben Sie eine E-Mail an unsere [mailto:owasp-germany@lists.owasp.org Chapter Mailingliste].<br />
<br />
=== Presse ===<br />
<br />
Informationen für die Presse finden sich [[Germany/press|hier]].<br />
<br />
=Sponsoren=<br />
=== Sponsoren des German OWASP Chapters ===<br />
<br />
<!-- Sponsoren: bitte 3-spaltige Tabelle benutzen, damit genuegend Abstand zwischen den Bildern --><br />
{| style="background-color:inherit;" width="99%"<br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]<br />
|-<br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
| [[Image:Logo-bitinspect.jpg|160px|link=https://bitinspect.de|bitinspect.de]]<!--[[Image:Cyberday-logo_8700px_square.png|link=https://www.cyberday-gmbh.de|www.cyberday-gmbh.de]]--><br />
|-<br />
| <!--[[Image:Banner_TUViT.png|link=https://www.tuvit.de/de|www.tuvit.de]]--><br />
| <!--[[Image:binsec.png|link=http://www.binsec.de/|www.binsec.de]]--><br />
|-<br />
| [[Image:xing_logo.png|120px|link=https://corporate.xing.com/english/company/security-at-xing/|www.xing.com]]<br />
| <!--[[Image:acunetix_max_8700px.png|link=https://www.acunetix.com/|www.acunetix.com]]--><br />
|- |<br />
|-<br />
|<br />
| <br />
|- |<br />
|<br />
|<br />
|}<br />
<br />
Unser Angebot an Sponsoren / Offer for Chapter Sponsors: [[Germany/Chaptersponsor|OWASP German Chapter Sponsorship]].<br />
<br />
<br />
<headertabs></headertabs><br />
<br />
<small>(Kleines [[Germany/Website_HowTo|HowTo]] für die deutschen wiki-Seiten)</small><br />
<br />
[[Category:Germany]] <br />
[[Category:Europe]]<br />
[[Category:OWASP Chapter]]</div>Alexioshttps://wiki.owasp.org/index.php?title=File:Logo-bitinspect.jpg&diff=241586File:Logo-bitinspect.jpg2018-07-01T19:12:49Z<p>Alexios: </p>
<hr />
<div></div>Alexioshttps://wiki.owasp.org/index.php?title=Germany&diff=241585Germany2018-07-01T19:09:26Z<p>Alexios: /* Sponsoren des German OWASP Chapters */</p>
<hr />
<div><br />
__NOTOC__<br />
=Willkommen=<br />
<div style="height:11em;">[[Image:OWASP_German_Chapter_WHITE_PNG.png|500px|right]]</div><br />
<!-- mediawiki ist zu dumm, um Bilder ordentlich darzustellen, darum das DIV mit style= --><br />
<br />
== Über OWASP ==<br />
OWASP ist eine unabhängige, weltweite Community mit dem Ziel, die Bedeutung der Sicherheit von Webanwendungen »sichtbar zu machen« Know-How zur Entwicklung und den Betrieb sicherer Webanwendungen zu verbreiten und frei zur Verfugung zu stellen. Sämtliche OWASP-Instrumente, wie Dokumente, Videos, Slides, Podcasts etc. sind kostenlos unter einer freien Lizenz verwendbar.<br />
<br />
OWASP ist frei, offen und herstellerunabhängig. Alle Interessierten sind herzlich willkommen etwa in [[:Category:OWASP Project|Projekten]] mitzuarbeiten oder nur am Wissen zu partizipieren. Eine prima Gelegenheit sich einen Eindruck zu verschaffen, sind die [[OWASP_German_Chapter_Stammtisch_Initiative|OWASP Stammtische]], die regelmäßig in vielen deutschen Großstädten stattfinden. <br />
<br />
== OWASP German Chapter ==<br />
OWASP organisiert sich in sogenannten [[OWASP Chapter|Chaptern]]. Eines davon ist das deutsche Chapter, auf dessen Seite ihr euch gerade befindet. Der Chapter Lead wird jährlich im [[Germany/Chapter_Meetings|Chapter Meeting]] gewählt. Derzeitiger Chapter Lead ist [mailto:tobias.glemser@owasp.org Tobias Glemser].<br />
<br />
Mitglieder im Chapter Board sind (in alphabetischer Reihenfolge):<br />
[mailto:achim@owasp.org Achim Hoffmann],<br />
[mailto:alexios.fakos@owasp.org Alexios Fakos],<br />
[mailto:bastian.braun@owasp.org Bastian Braun],<br />
[mailto:bjoern.kimminich@owasp.org Bjoern Kimminich],<br />
[mailto:boris@owasp.org Boris Hempkemeier],<br />
[mailto:christian.becker@owasp.org Christian Becker],<br />
Christian Dresen,<br />
[mailto:dirk@owasp.org Dirk Wetter],<br />
[mailto:hartwig.gelhausen@owasp.org Hartwig Gelhausen],<br />
[mailto:henrik.willert@owasp.org Henrik Willert],<br />
[mailto:ingo.hanke@owasp.org Ingo Hanke],<br />
[mailto:jan.wolff@owasp.org Jan Wolff],<br />
[mailto:kai@owasp.org Kai Jendrian],<br />
[mailto:martin.johns@owasp.org Martin Johns],<br />
[mailto:michael.schaefer@owasp.org Michael Schäfer],<br />
[mailto:ralf.reinhardt@owasp.org Ralf Reinhardt],<br />
Sven Schlüter,<br />
[mailto:tobias.glemser@owasp.org Tobias Glemser],<br />
[mailto:torsten.gigler@owasp.org Torsten Gigler]<br />
<br />
=Projekte=<br />
== Projekte des German Chapter ==<br />
<br />
Das German Chapter initiiert oder beteiligt sich an [[:Category:OWASP_Project|OWASP Projekten]]. Was das deutsche Chapter auf die Beine gestellt hat, kann sich blicken lassen! Ein Ausschnitt:<br />
<br />
* OWASP SSL advanced forensic tool - O-Saft<br />
* OWASP Juice Shop<br />
* OWASP Top 10 Privacy Risks Project<br />
* OWASP Top 10 für Entwickler<br />
* OWASP Top 10 2013: Deutsche Übersetzung<br />
* Best Practices: Web Application Firewalls<br />
<br />
Details findet ihr auf der Liste der [[Germany/Projekte|deutschen Projekte]].<br />
<br />
=Treffen=<br />
== OWASP Stammtisch-Initiative ==<br />
<br />
In mehreren Städten gibt es [[Germany/Stammtisch_Initiative|OWASP-Stammtische]], bei denen man sich in lockerer Runde trifft, um sich auszutauschen, nette Leute kennenzulernen oder ernsthafte Sicherheitsthemen zu diskutieren -- meinstens mit Vortrag.<br />
<br />
Aktive Stammtische gibt es (Stand August 2017) in: <br />
[[OWASP_German_Chapter_Stammtisch_Initiative/München|München]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt|Frankfurt]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Stuttgart|Stuttgart]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Köln|Köln]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Hamburg|Hamburg]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Karlsruhe|Karlsruhe]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Dresden|Dresden]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Ruhrpott|Ruhrpott]],<br />
[http://lists.owasp.org/pipermail/owasp-germany/2017-August/001012.html Heilbronn-Franken <b>(neu)</b>]<br />
<br />
== German OWASP Day ==<br />
<br />
Der [[German OWASP Day]] ist die jährlich stattfindende Konferez des German OWASP Chapter.<br />
Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge. <br />
<br />
Der letzte German OWASP Day [[German_OWASP_Day_2017|fand am 14.11.2017 in Essen statt]]. Der nächste wird voraussichtlich in Münster sein und befindet sich zur Zeit in Planung.<br />
<br />
== Chapter Meetings ==<br />
<br />
Das German Chapter trifft sich in unregelmäßigen Abständen, um die Arbeit innerhalb des German Chapter zu organisieren. Unser Chapter hat die Besonderheit, dass wir unter unserem Dach, die einzelnen Stammtische haben -- die in anderen Ländern als Chapter organisiert sind. Insofern sind<br />
unsere Chapter Meetings eine Mischung aus Vortrag und Organisation.<br />
<br />
Gemäß dem ''O'' in OWASP für ''open'' sind diese Treffen öffentlich. Jedermann kann daran teilnehmen und sich an der Arbeit im Chpater beteiligen. Der Termin zum Treffen -- Chapter Meeting -- wird auf dieser Seite bekannt gegegebn, zusammen mit der Agenda. Selbstverständlich sind auch alle Ergebnisse der Treffen öffentlich. Was auf den vergangenen Treffen jeweils besprochen / beschlossen wurde ist auf der [[Germany/Chapter_Meetings|Chapter Meetings]]-Seite zu finden.<br />
<br />
Das nächste Chapter Meeting wird am 11. April in Frankfurt stattfinden. Bitte meldet euch bei [mailto:tobias.glemser@owasp.org Tobias Glemser], falls ihr teilnehmen wollt. Eine OWASP Mitgliedschaft ist '''keine''' Voraussetzung zur Teilnahme! Lediglich für die Abstimmungen ist eine Mitgliedschaft notwendig. Details zu Agenda und Ort finden sich unter [[Germany/Chapter Meetings]].<br />
<br />
=Archiv=<br />
=== Aktuelleres / Historisches ===<br />
;14.11.2017: [[German_OWASP_Day_2017|9ter German OWASP Day in Essen]]<br />
;11./12.09.2017: [[Cheat Sheet Workshop|Cheat Sheet Workshop in Frankfurt]]<br />
;29.11.2016: [[German_OWASP_Day_2016|8ter German OWASP Day in Darmstadt]]<br />
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]<br />
;06.10.2015: Das OWASP German Chapter wird auch in diesem Jahr dank der Unterstützung der Nürnberg Messe auf der it-sa mit einem eigenen Stand (12.0-123) vertreten sein. Wir freuen uns auf spannende Gespräche am Stand. <br />
;13.04.2015: [https://lists.owasp.org/pipermail/owasp-germany/2015-March/000758.html German OWASP Chapter Meeting] in Frankfurt <br />
;23.01.2015: Übesetzung der '''OWASP Top 10 von 2013''' in Deutsch [[Germany/Projekte/Top_10|OWASP Top 10: Deutsche Übersetzung]]<br />
;09.12.2014: [[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]<br />
;14.03.2014: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind [[Germany/Chapter_Meetings|hier]] zu finden.<br />
;20. - 23.08.2013: Das German Chapter veranstaltete die [[AppSecEU2013|OWASP AppSec Europe Research 2013]].<br />
;10.08.2013: Partnerschaft mit dem [http://www.isaca.de/ ISACA Germany Chapter e.V.]: Zum Nutzen für Mitgleider beider Seiten wurde mit dem ISACA Germany Chapter e.V. eine Partnerschaft geschlossen. Die Partnerschaft ermöglicht es Mitgliedern des ISACA Germany Chapter e.V. an der OWASP AppSec Research 2013 zu vergünstigten Konditionen teilzunehmen. Das OWASP German Chapter erhält Gelegenheit auf ISACA Konferenzen präsent zu sein. Wir freuen uns sehr auf die Partnerschaft.<br />
;01.07.2013: Programm für AppSec Research EU 2013 ist [http://owaspappseceu2013.sched.org/ online] <!-- http://sched.appsec.eu/ ist Tracking-Seite, grrrr --><br />
;10.06.2013: Registrierung für AppSec Research EU 2013 ist hier <u>https://appsec.eu/registration/</u> .<br />
;17.05.2013: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind [[Germany/Chapter_Meetings|hier]] zu finden.<br />
;22.02.2013: German Chapter Meeting findet am '''17.05.2013''' in Frankfurt statt.<br />
;5.12.2012: Das German Chapter veranstaltet die [[AppSecEU2013|OWASP AppSec Europe Research 2013]].<br />
: The German Chapter is proud announcing [[AppSecEU2013|date and location]] of AppSecEU 2013.<br />
;10.11.2012: [[German_OWASP_Day_2012|German OWASP Day 2012]]:</u> Die hochrangige Websicherheitskonferenz war ein voller Erfolg: Dank gilt allen Besuchern -- gut ein Drittel mehr als letztes Jahr -- Sprechern und Sponsoren.<br />
;07.11.2012: [[Germany/Chaptersponsor|Chapter Sponsoring]] möglich.<br />
;03.11.2012: Webseite des [[Germany|OWASP German Chapter]] neu strukturiert.<br />
;10.09.2012: [[German_OWASP_Day_2012/Programm|Programm]] für [[German_OWASP_Day_2012|German OWASP Day 2012]] in München am 7.11.2012 steht<br />
;13.07.2012: Am Ende der AppSecEU 2012 wurde offiziell verkündet, dass das Deutsche Chapter die AppSec Research 2013 hostet. Ort Hamburg, Zeit: Juli <br />
;02.05.2012: Call for Presentations eröffnet für [[German_OWASP_Day_2012|German OWASP Day 2012]]. Ort: München<br />
<br />
Weitere Nachrichten sind [[Germany/Aktuelles|im Archiv]].<br />
<br />
=== Unsere Konferenzen ===<br />
<br />
;14.11.2017: [[German_OWASP_Day_2017|9ter German OWASP Day in Essen]]<br />
;29.11.2016: [[German_OWASP_Day_2016|8ter German OWASP Day in Darmstadt]]<br />
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]<br />
;09.12.2014: [[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]<br />
;20-23.08.2013: Das German Chapter organisierte die (europäische) [[AppSecEU2013|OWASP AppSec Europe Research 2013]].<br />
;7.11.2012: [[German_OWASP_Day_2012|German OWASP Day 2012]] in München<br />
<br />
Eine Liste aller vom OWASP German Chapter durchgeführten Konferenzen ist [[Germany/Konferenzen|hier]] zu finden.<br />
<br />
=Kontakt=<br />
=== So erreichen Sie uns ===<br />
<br />
;E-Mail: [mailto:germany-board@lists.owasp.org germany-board@lists.owasp.org]<br />
;Twitter: [https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]<br />
;Mailing-Liste: [https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org] [https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]<br />
<br />
Mitarbeit am OWASP German Chapter ist willkommen. Wir freuen uns auf Beiträge in unserer [https://lists.owasp.org/mailman/listinfo/owasp-germany Mailingliste]. Diese sollten natürlich einen Bezug zu (Web-)Anwendungssicherheit haben. Denkbar sind also u. A. Fragen, Tipps, aktuelle Hinweise, Stellenangebote oder Projektgesuche. Es gibt auch ein [https://lists.owasp.org/pipermail/owasp-germany Mailarchiv] von der Liste. Wenn Sie nicht an den Meetings teilnehmen können, kontaktieren Sie einfach einen der [[Germany|German Chapter Board Member]] oder schreiben Sie eine E-Mail an unsere [mailto:owasp-germany@lists.owasp.org Chapter Mailingliste].<br />
<br />
=== Presse ===<br />
<br />
Informationen für die Presse finden sich [[Germany/press|hier]].<br />
<br />
=Sponsoren=<br />
=== Sponsoren des German OWASP Chapters ===<br />
<br />
<!-- Sponsoren: bitte 3-spaltige Tabelle benutzen, damit genuegend Abstand zwischen den Bildern --><br />
{| style="background-color:inherit;" width="99%"<br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]<br />
|-<br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
| <!--[[Image:Cyberday-logo_8700px_square.png|link=https://www.cyberday-gmbh.de|www.cyberday-gmbh.de]]--><br />
|-<br />
| <!--[[Image:Banner_TUViT.png|link=https://www.tuvit.de/de|www.tuvit.de]]--><br />
| <!--[[Image:binsec.png|link=http://www.binsec.de/|www.binsec.de]]--><br />
|-<br />
| [[Image:xing_logo.png|120px|link=https://corporate.xing.com/english/company/security-at-xing/|www.xing.com]]<br />
| <!--[[Image:acunetix_max_8700px.png|link=https://www.acunetix.com/|www.acunetix.com]]--><br />
|- |<br />
|-<br />
|<br />
| <br />
|- |<br />
|<br />
|<br />
|}<br />
<br />
Unser Angebot an Sponsoren / Offer for Chapter Sponsors: [[Germany/Chaptersponsor|OWASP German Chapter Sponsorship]].<br />
<br />
<br />
<headertabs></headertabs><br />
<br />
<small>(Kleines [[Germany/Website_HowTo|HowTo]] für die deutschen wiki-Seiten)</small><br />
<br />
[[Category:Germany]] <br />
[[Category:Europe]]<br />
[[Category:OWASP Chapter]]</div>Alexioshttps://wiki.owasp.org/index.php?title=File:Logo-mgm-sp-200.png&diff=235227File:Logo-mgm-sp-200.png2017-11-09T13:05:01Z<p>Alexios: Alexios uploaded a new version of File:Logo-mgm-sp-200.png</p>
<hr />
<div></div>Alexioshttps://wiki.owasp.org/index.php?title=File:Modusio-trans-FFFFFF.png&diff=235204File:Modusio-trans-FFFFFF.png2017-11-08T15:17:32Z<p>Alexios: Alexios uploaded a new version of File:Modusio-trans-FFFFFF.png</p>
<hr />
<div></div>Alexioshttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=235179German OWASP Day 20172017-11-07T21:39:19Z<p>Alexios: Last logos</p>
<hr />
<div>'''Der Vorverkauf ist gestartet:''' '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
[[Image:TSHIRT_AppSec_Version_3.png|right|TSHIRT_AppSec_Version_3.png]]<br />
__TOC__<br />
<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 (https://www.owasp.org/index.php/German_OWASP_Day_2017) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im &#8594; <u>[https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet]</u> bzw. Information in English &#8594; <u>[https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english]</u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2017.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
|[[File:Logo NTTSecurity gmbh2.jpg|link=http://www.nttsecurity.com/|www.nttsecurity.com]]<br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
|[[File:Modusio-trans-FFFFFF.png|link=http://modusio.com/|www.modusio.com]]<br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|-<br />
|<br />
| [[File:Logo-mgm-sp-200.png|link=https://www.mgm-sp.com/|www.mgm-sp.com]] <br />
|<br />
|<br />
|-<br />
|<br />
| [[Image:RuhrSec.png|link=https://www.ruhrsec.de/|www.ruhrsec.de|180x180px]] <br />
|<br />
|<br />
|}<br />
<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
=== Vorabendveranstaltung ===<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 13. November ab 19h eingeladen (im Tagungsbeitrag enthalten).<br />
<br />
Wir treffen uns in der Hudson's - Metropolitan Bar & Dining ab 19:00 Uhr in der Girardetstraße 2, 45131 Essen. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein.<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" style="width: 80%;" border="0" align="center"<br />
|-<br />
| colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" align="left" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" align="left" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Keynote: '''Developers are not the enemy!''' Usable Security for Experts <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Cheat Sheet Workshop'''<br>Jan Wolff, Rocco Gränitz<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Robert Merget (Ruhr-Universität Bochum): TLS-Attacker 2.0<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Juice Shop 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): Developers are not the enemy! Usable Security for Experts ===<br />
''Abstract:'' Usability problems are a major cause of many of today’s IT-security incidents. Security systems are often too complicated, time-consuming, and error prone. For more than a decade researchers in the domain of usable security (USEC) have attempted to combat these problems by conducting interdisciplinary research focusing on the root causes of the problems and on the creation of usable security mechanisms. While major improvements have been made, to date USEC research has focused almost entirely on the non-expert end-user. However, many of the most catastrophic security incidents were not caused by end-users, but by developers or administrators. Heartbleed and Shellshock were both caused by single developers yet had global consequences. The Sony hack in 2014 compromised an entire multi-national IT-infrastructure and misappropriated over 100 TB of data, unnoticed. Fundamentally, every software vulnerability and misconfigured system is caused by developers or administrators making mistakes, but very little research has been done into the underlying causalities and possible mitigation strategies. In this talk we will explore the transition from end-user to expert usable security research and look at several application areas, including TLS, passwords, malware analysis and vulnerability analysis.<br />
<br />
''Bio:'' Matthew Smith is a Professor for Usable Security and Privacy at the University of Bonn. His research is focused on human factors of security and privacy mechanisms with a wide range of application areas, including TLS and network security, authentication, mobile and app security and, most recently, usable security for developers and administrators. His work has been published at amongst others IEEE S&P, ACM CCS, USENIX Security, NDSS, ACM SIGCHI and SOUPS the Symposium on Usable Security and Privacy. In 2015 his ERC Starting Grant “Frontiers of Usable Security” was selected for funding.<br />
----<br />
<br />
=== Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets'''' ===<br />
''Abstract'': Cross-Site Scripting is a constant problem of the Web platform. Over the years many techniques have been introduced to prevent or mitigate XSS. Most of these techniques, thereby, focus on script tags and event handlers. HTML sanitizers, for example, aim at removing potentially dangerous tags and attributes. Another example is the Content Security Policy, which forbids inline event handlers and aims at white listing of legitimate scripts.<br />
<br />
In this talk, we present a novel Web hacking technique that enables an attacker to circumvent most XSS mitigations. In order to do so, the attacker abuses so-called script gadgets. A script gadget Is a legitimate piece of JavaScript in a page that reads elements from the DOM via selectors and processes them in a way that results in script execution. To abuse a script gadget, the attacker injects a benign looking element into the page that matches the gadget's selector. Subsequently, the gadget selects the benign-looking element and executes attacker-controlled scripts. As the initially injected element is benign it passes HTML sanitizers and security policies. The XSS only surfaces when the gadget mistakenly elevates the privileges of the element.<br />
<br />
In this talk, we will demonstrate that these gadgets are present in almost all modern JavaScript libraries, APIs and applications. We will present several case studies and real-world examples that demonstrate that many mitigation techniques are not suited for modern applications. As a result, we argue that the Web should start focusing more on preventive mechanisms instead of mitigations.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
<br />
----<br />
<br />
'''Robert Merget (Ruhr-Universität Bochum): TLS-Attacker 2.0'''<br />
<br />
''Abstract'': TLS ist das am weitesten verbreitete Verschlüsselungsprotokoll im Internet und ist aus dem aktuellen IT-Ökosystem nicht mehr wegzudenken. Das Protokoll ist mit den Jahren zunehmend komplexer geworden, was die Angriffsfläche der Implementierungen deutlich erhöht hat. Die Analyse des Protokolls ist gleichzeitig stets schwieriger geworden, sodass das Auffinden von Schwachstellen immer unzugänglicher geworden ist. Dieser Talk stellt das open-source Framework TLS-Attacker 2.0 vor, welches es Forschern und Penetration Testern erlaubt TLS Implementierungen systematisch auf Schwachstellen zu untersuchen. Mit TLS-Attacker ist es möglich eigene TLS-Protokoll-Abläufe mit beliebigen Inhalten mit einer XML-Schnittstelle zu erstellen und die Werte der Nachrichten und Records zur Laufzeit zu modifizieren. TLS-Attacker befindet sich momentan in reger Entwicklung und wird stetig weiterentwickelt. In diesem Talk wird das Framework in einer Live-Demo vorgestellt, sowie die neuesten Änderungen des Projekts präsentiert.<br />
<br />
''Bio'': Robert Merget ist Wissenschaftlicher Mitarbeiter an der Ruhr-Universität-Bochum am Lehrstuhl für Netz- und Datensicherheit und hat 2016 seinen Masterabschluss in IT-Sicherheit gemacht. Er ist Experte im Bereich TLS und entwickelt im Rahmen seiner Forschungsarbeit in Kooperation mit der Hackmanit GmbH das TLS-Angriffswerkzeug "TLS-Attacker". Darüber hinaus ist er ebenfalls auf das automatische aufdecken von Sicherheitslücken in Softwareprodukten spezialisiert.<br />
<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
----<br />
<br />
'''Jan Wolff, Rocco Gränitz : OWASP Cheat Sheet Workshop'''<br />
<br />
''Abstract'': In diesem Jahr hat das OWASP German Chapter zum ersten Mal einen Workshop zur Überarbeitung der OWASP Cheat Sheets organisiert. Dieser Kurzbeitrag gibt einen Einblick auf den Ablauf, die Ergebnisse und was für das nächste Jahr lernen.<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf ist gestartet: '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Alexioshttps://wiki.owasp.org/index.php?title=File:Modusio-trans-FFFFFF.png&diff=235178File:Modusio-trans-FFFFFF.png2017-11-07T21:37:48Z<p>Alexios: </p>
<hr />
<div></div>Alexioshttps://wiki.owasp.org/index.php?title=File:Logo-mgm-sp-200.png&diff=235177File:Logo-mgm-sp-200.png2017-11-07T21:33:30Z<p>Alexios: </p>
<hr />
<div></div>Alexioshttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=234724German OWASP Day 20172017-10-28T11:00:37Z<p>Alexios: /* Call For Presentations */ Adjust Logo RuhrSec</p>
<hr />
<div>'''Der Vorverkauf ist gestartet:''' '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
[[Image:TSHIRT_AppSec_Version_3.png|right|TSHIRT_AppSec_Version_3.png]]<br />
__TOC__<br />
<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 (https://www.owasp.org/index.php/German_OWASP_Day_2017) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im &#8594; <u>[https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet]</u> bzw. Information in English &#8594; <u>[https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english]</u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2017.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
|[[File:Logo NTTSecurity gmbh2.jpg|link=http://www.nttsecurity.com/|www.nttsecurity.com]]<br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| http://modusio.com/<br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|-<br />
|<br />
| [[Image:Mgm_8700px.png|link=https://www.mgm-sp.com/|www.mgm-sp.com]] <br />
|<br />
|<br />
|-<br />
|<br />
| [[Image:RuhrSec.png|link=https://www.ruhrsec.de/|www.ruhrsec.de|180x180px]] <br />
|<br />
|<br />
|}<br />
<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
=== Vorabendveranstaltung ===<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 13. November ab 19h eingeladen (im Tagungsbeitrag enthalten).<br />
<br />
Wir treffen uns in der Hudson's - Metropolitan Bar & Dining ab 19:00 Uhr in der Girardetstraße 2, 45131 Essen. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein.<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" style="width: 80%;" border="0" align="center"<br />
|-<br />
| colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" align="left" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" align="left" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Keynote: '''Developers are not the enemy!''' Usable Security for Experts <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Cheat Sheet Workshop'''<br>Jan Wolff, Rocco Gränitz<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Juice Shop 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): Developers are not the enemy! Usable Security for Experts ===<br />
''Abstract:'' Usability problems are a major cause of many of today’s IT-security incidents. Security systems are often too complicated, time-consuming, and error prone. For more than a decade researchers in the domain of usable security (USEC) have attempted to combat these problems by conducting interdisciplinary research focusing on the root causes of the problems and on the creation of usable security mechanisms. While major improvements have been made, to date USEC research has focused almost entirely on the non-expert end-user. However, many of the most catastrophic security incidents were not caused by end-users, but by developers or administrators. Heartbleed and Shellshock were both caused by single developers yet had global consequences. The Sony hack in 2014 compromised an entire multi-national IT-infrastructure and misappropriated over 100 TB of data, unnoticed. Fundamentally, every software vulnerability and misconfigured system is caused by developers or administrators making mistakes, but very little research has been done into the underlying causalities and possible mitigation strategies. In this talk we will explore the transition from end-user to expert usable security research and look at several application areas, including TLS, passwords, malware analysis and vulnerability analysis.<br />
<br />
''Bio:'' Matthew Smith is a Professor for Usable Security and Privacy at the University of Bonn. His research is focused on human factors of security and privacy mechanisms with a wide range of application areas, including TLS and network security, authentication, mobile and app security and, most recently, usable security for developers and administrators. His work has been published at amongst others IEEE S&P, ACM CCS, USENIX Security, NDSS, ACM SIGCHI and SOUPS the Symposium on Usable Security and Privacy. In 2015 his ERC Starting Grant “Frontiers of Usable Security” was selected for funding.<br />
----<br />
<br />
=== Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets'''' ===<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf ist gestartet: '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Alexioshttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=234723German OWASP Day 20172017-10-28T10:59:11Z<p>Alexios: Sponsoring . Add RuhrSec logo</p>
<hr />
<div>'''Der Vorverkauf ist gestartet:''' '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
[[Image:TSHIRT_AppSec_Version_3.png|right|TSHIRT_AppSec_Version_3.png]]<br />
__TOC__<br />
<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 (https://www.owasp.org/index.php/German_OWASP_Day_2017) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im &#8594; <u>[https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet]</u> bzw. Information in English &#8594; <u>[https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english]</u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2017.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
|[[File:Logo NTTSecurity gmbh2.jpg|link=http://www.nttsecurity.com/|www.nttsecurity.com]]<br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| http://modusio.com/<br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|-<br />
|<br />
| [[Image:Mgm_8700px.png|link=https://www.mgm-sp.com/|www.mgm-sp.com]] <br />
|<br />
|<br />
|-<br />
|<br />
| [[Image:RuhrSec.png|link=https://www.ruhrsec.de/|www.ruhrsec.de]] <br />
|<br />
|<br />
|}<br />
<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
=== Vorabendveranstaltung ===<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 13. November ab 19h eingeladen (im Tagungsbeitrag enthalten).<br />
<br />
Wir treffen uns in der Hudson's - Metropolitan Bar & Dining ab 19:00 Uhr in der Girardetstraße 2, 45131 Essen. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein.<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" style="width: 80%;" border="0" align="center"<br />
|-<br />
| colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" align="left" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" align="left" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Keynote: '''Developers are not the enemy!''' Usable Security for Experts <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Cheat Sheet Workshop'''<br>Jan Wolff, Rocco Gränitz<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Juice Shop 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): Developers are not the enemy! Usable Security for Experts ===<br />
''Abstract:'' Usability problems are a major cause of many of today’s IT-security incidents. Security systems are often too complicated, time-consuming, and error prone. For more than a decade researchers in the domain of usable security (USEC) have attempted to combat these problems by conducting interdisciplinary research focusing on the root causes of the problems and on the creation of usable security mechanisms. While major improvements have been made, to date USEC research has focused almost entirely on the non-expert end-user. However, many of the most catastrophic security incidents were not caused by end-users, but by developers or administrators. Heartbleed and Shellshock were both caused by single developers yet had global consequences. The Sony hack in 2014 compromised an entire multi-national IT-infrastructure and misappropriated over 100 TB of data, unnoticed. Fundamentally, every software vulnerability and misconfigured system is caused by developers or administrators making mistakes, but very little research has been done into the underlying causalities and possible mitigation strategies. In this talk we will explore the transition from end-user to expert usable security research and look at several application areas, including TLS, passwords, malware analysis and vulnerability analysis.<br />
<br />
''Bio:'' Matthew Smith is a Professor for Usable Security and Privacy at the University of Bonn. His research is focused on human factors of security and privacy mechanisms with a wide range of application areas, including TLS and network security, authentication, mobile and app security and, most recently, usable security for developers and administrators. His work has been published at amongst others IEEE S&P, ACM CCS, USENIX Security, NDSS, ACM SIGCHI and SOUPS the Symposium on Usable Security and Privacy. In 2015 his ERC Starting Grant “Frontiers of Usable Security” was selected for funding.<br />
----<br />
<br />
=== Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets'''' ===<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf ist gestartet: '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Alexioshttps://wiki.owasp.org/index.php?title=File:RuhrSec.png&diff=234722File:RuhrSec.png2017-10-28T10:57:23Z<p>Alexios: </p>
<hr />
<div>Logo RuhrSec</div>Alexioshttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=234567German OWASP Day 20172017-10-23T14:41:45Z<p>Alexios: /* Sponsoring */ Logo...</p>
<hr />
<div>'''Der Vorverkauf ist gestartet:''' '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
[[Image:TSHIRT_AppSec_Version_3.png|right|TSHIRT_AppSec_Version_3.png]]<br />
__TOC__<br />
<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 (https://www.owasp.org/index.php/German_OWASP_Day_2017) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im &#8594; <u>[https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet]</u> bzw. Information in English &#8594; <u>[https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english]</u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2017.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
|[[File:Logo NTTSecurity gmbh2.jpg|link=http://www.nttsecurity.com/|www.nttsecurity.com]]<br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| http://modusio.com/<br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|-<br />
|<br />
| [[Image:Mgm_8700px.png|link=https://www.mgm-sp.com/|www.mgm-sp.com]] <br />
|<br />
|<br />
|}<br />
<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
=== Vorabendveranstaltung ===<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 13. November ab 19h eingeladen (im Tagungsbeitrag enthalten).<br />
<br />
Wir treffen uns in der Hudson's - Metropolitan Bar & Dining ab 19:00 Uhr in der Girardetstraße 2, 45131 Essen. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein.<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" style="width: 80%;" border="0" align="center"<br />
|-<br />
| colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" align="left" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" align="left" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Keynote: '''Developers are not the enemy!''' Usable Security for Experts <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Cheat Sheet Workshop'''<br>Jan Wolff, Rocco Gränitz<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Juice Shop 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): Developers are not the enemy! Usable Security for Experts ===<br />
''Abstract:'' Usability problems are a major cause of many of today’s IT-security incidents. Security systems are often too complicated, time-consuming, and error prone. For more than a decade researchers in the domain of usable security (USEC) have attempted to combat these problems by conducting interdisciplinary research focusing on the root causes of the problems and on the creation of usable security mechanisms. While major improvements have been made, to date USEC research has focused almost entirely on the non-expert end-user. However, many of the most catastrophic security incidents were not caused by end-users, but by developers or administrators. Heartbleed and Shellshock were both caused by single developers yet had global consequences. The Sony hack in 2014 compromised an entire multi-national IT-infrastructure and misappropriated over 100 TB of data, unnoticed. Fundamentally, every software vulnerability and misconfigured system is caused by developers or administrators making mistakes, but very little research has been done into the underlying causalities and possible mitigation strategies. In this talk we will explore the transition from end-user to expert usable security research and look at several application areas, including TLS, passwords, malware analysis and vulnerability analysis.<br />
<br />
''Bio:'' Matthew Smith is a Professor for Usable Security and Privacy at the University of Bonn. His research is focused on human factors of security and privacy mechanisms with a wide range of application areas, including TLS and network security, authentication, mobile and app security and, most recently, usable security for developers and administrators. His work has been published at amongst others IEEE S&P, ACM CCS, USENIX Security, NDSS, ACM SIGCHI and SOUPS the Symposium on Usable Security and Privacy. In 2015 his ERC Starting Grant “Frontiers of Usable Security” was selected for funding.<br />
----<br />
<br />
=== Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets'''' ===<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf ist gestartet: '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Alexioshttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=234566German OWASP Day 20172017-10-23T14:36:52Z<p>Alexios: Sponsor Logos - close to final</p>
<hr />
<div>'''Der Vorverkauf ist gestartet:''' '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
[[Image:TSHIRT_AppSec_Version_3.png|right|TSHIRT_AppSec_Version_3.png]]<br />
__TOC__<br />
<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 (https://www.owasp.org/index.php/German_OWASP_Day_2017) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im &#8594; <u>[https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet]</u> bzw. Information in English &#8594; <u>[https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english]</u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2017.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
|[[File:Logo NTTSecurity gmbh2.jpg|link=http://www.nttsecurity.com/|www.nttsecurity.com]]<br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|-<br />
|<br />
| [[Image:Mgm_8700px.png|link=https://www.mgm-sp.com/|www.mgm-sp.com]] <br />
|<br />
|<br />
|}<br />
<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
=== Vorabendveranstaltung ===<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 13. November ab 19h eingeladen (im Tagungsbeitrag enthalten).<br />
<br />
Wir treffen uns in der Hudson's - Metropolitan Bar & Dining ab 19:00 Uhr in der Girardetstraße 2, 45131 Essen. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein.<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" style="width: 80%;" border="0" align="center"<br />
|-<br />
| colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" align="left" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" align="left" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Keynote: '''Developers are not the enemy!''' Usable Security for Experts <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Cheat Sheet Workshop'''<br>Jan Wolff, Rocco Gränitz<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Juice Shop 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): Developers are not the enemy! Usable Security for Experts ===<br />
''Abstract:'' Usability problems are a major cause of many of today’s IT-security incidents. Security systems are often too complicated, time-consuming, and error prone. For more than a decade researchers in the domain of usable security (USEC) have attempted to combat these problems by conducting interdisciplinary research focusing on the root causes of the problems and on the creation of usable security mechanisms. While major improvements have been made, to date USEC research has focused almost entirely on the non-expert end-user. However, many of the most catastrophic security incidents were not caused by end-users, but by developers or administrators. Heartbleed and Shellshock were both caused by single developers yet had global consequences. The Sony hack in 2014 compromised an entire multi-national IT-infrastructure and misappropriated over 100 TB of data, unnoticed. Fundamentally, every software vulnerability and misconfigured system is caused by developers or administrators making mistakes, but very little research has been done into the underlying causalities and possible mitigation strategies. In this talk we will explore the transition from end-user to expert usable security research and look at several application areas, including TLS, passwords, malware analysis and vulnerability analysis.<br />
<br />
''Bio:'' Matthew Smith is a Professor for Usable Security and Privacy at the University of Bonn. His research is focused on human factors of security and privacy mechanisms with a wide range of application areas, including TLS and network security, authentication, mobile and app security and, most recently, usable security for developers and administrators. His work has been published at amongst others IEEE S&P, ACM CCS, USENIX Security, NDSS, ACM SIGCHI and SOUPS the Symposium on Usable Security and Privacy. In 2015 his ERC Starting Grant “Frontiers of Usable Security” was selected for funding.<br />
----<br />
<br />
=== Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets'''' ===<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf ist gestartet: '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Alexioshttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=234564German OWASP Day 20172017-10-23T14:33:11Z<p>Alexios: /* Sponsoring */</p>
<hr />
<div>'''Der Vorverkauf ist gestartet:''' '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
[[Image:TSHIRT_AppSec_Version_3.png|right|TSHIRT_AppSec_Version_3.png]]<br />
__TOC__<br />
<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 (https://www.owasp.org/index.php/German_OWASP_Day_2017) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im &#8594; <u>[https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet]</u> bzw. Information in English &#8594; <u>[https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english]</u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2017.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
|[[File:Logo NTTSecurity gmbh2.jpg|link=http://www.nttsecurity.com/|www.nttsecurity.com]]<br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|-<br />
|<br />
|<br />
|<br />
|<br />
|}<br />
<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
=== Vorabendveranstaltung ===<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 13. November ab 19h eingeladen (im Tagungsbeitrag enthalten).<br />
<br />
Wir treffen uns in der Hudson's - Metropolitan Bar & Dining ab 19:00 Uhr in der Girardetstraße 2, 45131 Essen. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein.<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" style="width: 80%;" border="0" align="center"<br />
|-<br />
| colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" align="left" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" align="left" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Keynote: '''Developers are not the enemy!''' Usable Security for Experts <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Cheat Sheet Workshop'''<br>Jan Wolff, Rocco Gränitz<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Juice Shop 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): Developers are not the enemy! Usable Security for Experts ===<br />
''Abstract:'' Usability problems are a major cause of many of today’s IT-security incidents. Security systems are often too complicated, time-consuming, and error prone. For more than a decade researchers in the domain of usable security (USEC) have attempted to combat these problems by conducting interdisciplinary research focusing on the root causes of the problems and on the creation of usable security mechanisms. While major improvements have been made, to date USEC research has focused almost entirely on the non-expert end-user. However, many of the most catastrophic security incidents were not caused by end-users, but by developers or administrators. Heartbleed and Shellshock were both caused by single developers yet had global consequences. The Sony hack in 2014 compromised an entire multi-national IT-infrastructure and misappropriated over 100 TB of data, unnoticed. Fundamentally, every software vulnerability and misconfigured system is caused by developers or administrators making mistakes, but very little research has been done into the underlying causalities and possible mitigation strategies. In this talk we will explore the transition from end-user to expert usable security research and look at several application areas, including TLS, passwords, malware analysis and vulnerability analysis.<br />
<br />
''Bio:'' Matthew Smith is a Professor for Usable Security and Privacy at the University of Bonn. His research is focused on human factors of security and privacy mechanisms with a wide range of application areas, including TLS and network security, authentication, mobile and app security and, most recently, usable security for developers and administrators. His work has been published at amongst others IEEE S&P, ACM CCS, USENIX Security, NDSS, ACM SIGCHI and SOUPS the Symposium on Usable Security and Privacy. In 2015 his ERC Starting Grant “Frontiers of Usable Security” was selected for funding.<br />
----<br />
<br />
=== Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets'''' ===<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf ist gestartet: '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Alexioshttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=234563German OWASP Day 20172017-10-23T14:31:50Z<p>Alexios: Sponsor Logo Update - Round 3</p>
<hr />
<div>'''Der Vorverkauf ist gestartet:''' '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
[[Image:TSHIRT_AppSec_Version_3.png|right|TSHIRT_AppSec_Version_3.png]]<br />
__TOC__<br />
<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 (https://www.owasp.org/index.php/German_OWASP_Day_2017) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im &#8594; <u>[https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet]</u> bzw. Information in English &#8594; <u>[https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english]</u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2017.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|-<br />
|<br />
|[[File:Logo NTTSecurity gmbh2.jpg|link=http://www.nttsecurity.com/|www.nttsecurity.com]]<br />
|<br />
|<br />
|}<br />
<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
=== Vorabendveranstaltung ===<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 13. November ab 19h eingeladen (im Tagungsbeitrag enthalten).<br />
<br />
Wir treffen uns in der Hudson's - Metropolitan Bar & Dining ab 19:00 Uhr in der Girardetstraße 2, 45131 Essen. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein.<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" style="width: 80%;" border="0" align="center"<br />
|-<br />
| colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" align="left" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" align="left" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Keynote: '''Developers are not the enemy!''' Usable Security for Experts <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Cheat Sheet Workshop'''<br>Jan Wolff, Rocco Gränitz<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Juice Shop 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): Developers are not the enemy! Usable Security for Experts ===<br />
''Abstract:'' Usability problems are a major cause of many of today’s IT-security incidents. Security systems are often too complicated, time-consuming, and error prone. For more than a decade researchers in the domain of usable security (USEC) have attempted to combat these problems by conducting interdisciplinary research focusing on the root causes of the problems and on the creation of usable security mechanisms. While major improvements have been made, to date USEC research has focused almost entirely on the non-expert end-user. However, many of the most catastrophic security incidents were not caused by end-users, but by developers or administrators. Heartbleed and Shellshock were both caused by single developers yet had global consequences. The Sony hack in 2014 compromised an entire multi-national IT-infrastructure and misappropriated over 100 TB of data, unnoticed. Fundamentally, every software vulnerability and misconfigured system is caused by developers or administrators making mistakes, but very little research has been done into the underlying causalities and possible mitigation strategies. In this talk we will explore the transition from end-user to expert usable security research and look at several application areas, including TLS, passwords, malware analysis and vulnerability analysis.<br />
<br />
''Bio:'' Matthew Smith is a Professor for Usable Security and Privacy at the University of Bonn. His research is focused on human factors of security and privacy mechanisms with a wide range of application areas, including TLS and network security, authentication, mobile and app security and, most recently, usable security for developers and administrators. His work has been published at amongst others IEEE S&P, ACM CCS, USENIX Security, NDSS, ACM SIGCHI and SOUPS the Symposium on Usable Security and Privacy. In 2015 his ERC Starting Grant “Frontiers of Usable Security” was selected for funding.<br />
----<br />
<br />
=== Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets'''' ===<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf ist gestartet: '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Alexioshttps://wiki.owasp.org/index.php?title=File:Logo_NTTSecurity_gmbh2.jpg&diff=234562File:Logo NTTSecurity gmbh2.jpg2017-10-23T14:30:05Z<p>Alexios: </p>
<hr />
<div></div>Alexioshttps://wiki.owasp.org/index.php?title=File:Logo_NTTSecurity_gmbh.png&diff=234561File:Logo NTTSecurity gmbh.png2017-10-23T14:28:03Z<p>Alexios: Alexios uploaded a new version of File:Logo NTTSecurity gmbh.png</p>
<hr />
<div></div>Alexioshttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=234559German OWASP Day 20172017-10-23T14:24:24Z<p>Alexios: Sponsor Logos - Round 2</p>
<hr />
<div>'''Der Vorverkauf ist gestartet:''' '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
[[Image:TSHIRT_AppSec_Version_3.png|right|TSHIRT_AppSec_Version_3.png]]<br />
__TOC__<br />
<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 (https://www.owasp.org/index.php/German_OWASP_Day_2017) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im &#8594; <u>[https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet]</u> bzw. Information in English &#8594; <u>[https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english]</u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2017.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|-<br />
|<br />
|[[File:Logo_NTTSecurity_gmbh.png|link=http://www.nttsecurity.com/|www.nttsecurity.com]]<br />
|<br />
|<br />
|}<br />
<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
=== Vorabendveranstaltung ===<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 13. November ab 19h eingeladen (im Tagungsbeitrag enthalten).<br />
<br />
Wir treffen uns in der Hudson's - Metropolitan Bar & Dining ab 19:00 Uhr in der Girardetstraße 2, 45131 Essen. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein.<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" style="width: 80%;" border="0" align="center"<br />
|-<br />
| colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" align="left" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" align="left" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Keynote: '''Developers are not the enemy!''' Usable Security for Experts <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Cheat Sheet Workshop'''<br>Jan Wolff, Rocco Gränitz<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Juice Shop 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): Developers are not the enemy! Usable Security for Experts ===<br />
''Abstract:'' Usability problems are a major cause of many of today’s IT-security incidents. Security systems are often too complicated, time-consuming, and error prone. For more than a decade researchers in the domain of usable security (USEC) have attempted to combat these problems by conducting interdisciplinary research focusing on the root causes of the problems and on the creation of usable security mechanisms. While major improvements have been made, to date USEC research has focused almost entirely on the non-expert end-user. However, many of the most catastrophic security incidents were not caused by end-users, but by developers or administrators. Heartbleed and Shellshock were both caused by single developers yet had global consequences. The Sony hack in 2014 compromised an entire multi-national IT-infrastructure and misappropriated over 100 TB of data, unnoticed. Fundamentally, every software vulnerability and misconfigured system is caused by developers or administrators making mistakes, but very little research has been done into the underlying causalities and possible mitigation strategies. In this talk we will explore the transition from end-user to expert usable security research and look at several application areas, including TLS, passwords, malware analysis and vulnerability analysis.<br />
<br />
''Bio:'' Matthew Smith is a Professor for Usable Security and Privacy at the University of Bonn. His research is focused on human factors of security and privacy mechanisms with a wide range of application areas, including TLS and network security, authentication, mobile and app security and, most recently, usable security for developers and administrators. His work has been published at amongst others IEEE S&P, ACM CCS, USENIX Security, NDSS, ACM SIGCHI and SOUPS the Symposium on Usable Security and Privacy. In 2015 his ERC Starting Grant “Frontiers of Usable Security” was selected for funding.<br />
----<br />
<br />
=== Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets'''' ===<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf ist gestartet: '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Alexioshttps://wiki.owasp.org/index.php?title=File:Logo_NTTSecurity_gmbh.png&diff=234558File:Logo NTTSecurity gmbh.png2017-10-23T14:23:53Z<p>Alexios: Alexios uploaded a new version of File:Logo NTTSecurity gmbh.png</p>
<hr />
<div></div>Alexioshttps://wiki.owasp.org/index.php?title=File:Logo_NTTSecurity_gmbh.png&diff=234556File:Logo NTTSecurity gmbh.png2017-10-23T14:22:19Z<p>Alexios: </p>
<hr />
<div></div>Alexioshttps://wiki.owasp.org/index.php?title=File:Mgm-Logo-sp-2016-RGB.png&diff=234548File:Mgm-Logo-sp-2016-RGB.png2017-10-23T14:08:50Z<p>Alexios: </p>
<hr />
<div></div>Alexioshttps://wiki.owasp.org/index.php?title=File:Nttsecuritygmbh.jpg&diff=234547File:Nttsecuritygmbh.jpg2017-10-23T14:08:30Z<p>Alexios: </p>
<hr />
<div></div>Alexioshttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=234546German OWASP Day 20172017-10-23T13:58:23Z<p>Alexios: Adding Sponsor Logos - First round</p>
<hr />
<div>'''Der Vorverkauf ist gestartet:''' '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
[[Image:TSHIRT_AppSec_Version_3.png|right|TSHIRT_AppSec_Version_3.png]]<br />
__TOC__<br />
<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 (https://www.owasp.org/index.php/German_OWASP_Day_2017) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im &#8594; <u>[https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet]</u> bzw. Information in English &#8594; <u>[https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english]</u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2017.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
=== Vorabendveranstaltung ===<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 13. November ab 19h eingeladen (im Tagungsbeitrag enthalten).<br />
<br />
Wir treffen uns in der Hudson's - Metropolitan Bar & Dining ab 19:00 Uhr in der Girardetstraße 2, 45131 Essen. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein.<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" style="width: 80%;" border="0" align="center"<br />
|-<br />
| colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" align="left" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" align="left" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Keynote: '''Developers are not the enemy!''' Usable Security for Experts <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Cheat Sheet Workshop'''<br>Jan Wolff, Rocco Gränitz<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Juice Shop 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): Developers are not the enemy! Usable Security for Experts ===<br />
''Abstract:'' Usability problems are a major cause of many of today’s IT-security incidents. Security systems are often too complicated, time-consuming, and error prone. For more than a decade researchers in the domain of usable security (USEC) have attempted to combat these problems by conducting interdisciplinary research focusing on the root causes of the problems and on the creation of usable security mechanisms. While major improvements have been made, to date USEC research has focused almost entirely on the non-expert end-user. However, many of the most catastrophic security incidents were not caused by end-users, but by developers or administrators. Heartbleed and Shellshock were both caused by single developers yet had global consequences. The Sony hack in 2014 compromised an entire multi-national IT-infrastructure and misappropriated over 100 TB of data, unnoticed. Fundamentally, every software vulnerability and misconfigured system is caused by developers or administrators making mistakes, but very little research has been done into the underlying causalities and possible mitigation strategies. In this talk we will explore the transition from end-user to expert usable security research and look at several application areas, including TLS, passwords, malware analysis and vulnerability analysis.<br />
<br />
''Bio:'' Matthew Smith is a Professor for Usable Security and Privacy at the University of Bonn. His research is focused on human factors of security and privacy mechanisms with a wide range of application areas, including TLS and network security, authentication, mobile and app security and, most recently, usable security for developers and administrators. His work has been published at amongst others IEEE S&P, ACM CCS, USENIX Security, NDSS, ACM SIGCHI and SOUPS the Symposium on Usable Security and Privacy. In 2015 his ERC Starting Grant “Frontiers of Usable Security” was selected for funding.<br />
----<br />
<br />
=== Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets'''' ===<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf ist gestartet: '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Alexioshttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=233870German OWASP Day 20172017-09-29T09:46:37Z<p>Alexios: 2016 -> 2017</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 ([https://www.owasp.org/index.php/German_OWASP_Day_2017 https://www.owasp.org/index.php/German_OWASP_Day_2017]) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im &#8594; <u>[https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet]</u> bzw. Information in English &#8594; <u>[https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english]</u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" border="0" align="center" style="width: 80%;"<br />
|-<br />
| colspan="2" align="left" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Keynote: '''t.b.a''' <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Cheat Sheet Workshop'''<br>''t.b.a''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Juice Shop 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): t.b.a. ===<br />
<br />
''Abstract:'' t.b.a.<br />
<br />
----<br />
<br />
Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets''''<br />
<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf startet in Kürze<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Alexioshttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=233869German OWASP Day 20172017-09-29T09:46:03Z<p>Alexios: /* German OWASP Day 2017 / Deutscher OWASP-Tag 2017 */ 2016->2017</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 ([https://www.owasp.org/index.php/German_OWASP_Day_2017 https://www.owasp.org/index.php/German_OWASP_Day_2016]) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im &#8594; <u>[https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet]</u> bzw. Information in English &#8594; <u>[https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english]</u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" border="0" align="center" style="width: 80%;"<br />
|-<br />
| colspan="2" align="left" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Keynote: '''t.b.a''' <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Cheat Sheet Workshop'''<br>''t.b.a''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Juice Shop 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): t.b.a. ===<br />
<br />
''Abstract:'' t.b.a.<br />
<br />
----<br />
<br />
Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets''''<br />
<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf startet in Kürze<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Alexioshttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=233814German OWASP Day 20172017-09-28T10:25:05Z<p>Alexios: /* Sponsoring */ Links aktualisiert</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2016 (https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im &#8594; <u>[https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet]</u> bzw. Information in English &#8594; <u>[https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english]</u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" border="0" align="center" style="width: 80%;"<br />
|-<br />
| colspan="2" align="left" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Keynote: '''t.b.a''' <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Cheat Sheet Workshop'''<br>''t.b.a''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Juice Shop 4.x, 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): t.b.a. ===<br />
<br />
''Abstract:'' t.b.a.<br />
<br />
----<br />
<br />
Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets''''<br />
<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 4.x, 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook approaches 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 20min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf startet in Kürze<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Alexioshttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=233813German OWASP Day 20172017-09-28T10:23:43Z<p>Alexios: Wikitext Madness</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2016 (https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im &#8594; <u>[[GOD 2017 Sponsorsheet DE 2017.pdf|Sponsorsheet]]</u> bzw. Information in English &#8594; <u>[[GOD 2017 Sponsorsheet EN 2017.pdf|Sponsorsheet english]]</u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" border="0" align="center" style="width: 80%;"<br />
|-<br />
| colspan="2" align="left" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Keynote: '''t.b.a''' <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Cheat Sheet Workshop'''<br>''t.b.a''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Juice Shop 4.x, 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): t.b.a. ===<br />
<br />
''Abstract:'' t.b.a.<br />
<br />
----<br />
<br />
Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets''''<br />
<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 4.x, 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook approaches 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 20min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf startet in Kürze<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Alexioshttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=233812German OWASP Day 20172017-09-28T10:15:36Z<p>Alexios: Sponsorsheets ergänzt</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2016 (https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u><a href="/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf" class="internal" title="GOD 2017 Sponsorsheet Deutsch">&#8594; Sponsorsheet </a></u>, <u><a href="/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf" class="internal" title="GOD 2017 Sponsorsheet English">&#8594; Information in English </a></u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" border="0" align="center" style="width: 80%;"<br />
|-<br />
| colspan="2" align="left" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Keynote: '''t.b.a''' <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Cheat Sheet Workshop'''<br>''t.b.a''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Juice Shop 4.x, 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): t.b.a. ===<br />
<br />
''Abstract:'' t.b.a.<br />
<br />
----<br />
<br />
Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets''''<br />
<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 4.x, 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook approaches 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 20min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf startet in Kürze<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Alexioshttps://wiki.owasp.org/index.php?title=File:GOD_2017_Sponsorsheet_EN_2017.pdf&diff=233811File:GOD 2017 Sponsorsheet EN 2017.pdf2017-09-28T10:11:03Z<p>Alexios: </p>
<hr />
<div></div>Alexioshttps://wiki.owasp.org/index.php?title=File:GOD_2017_Sponsorsheet_DE_2017.pdf&diff=233810File:GOD 2017 Sponsorsheet DE 2017.pdf2017-09-28T10:10:30Z<p>Alexios: </p>
<hr />
<div></div>Alexioshttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=233787German OWASP Day 20172017-09-27T10:05:20Z<p>Alexios: /* Sponsoring */ Info zu Sponsoring aktualisiert</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2016 (https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren werden wir in Kürze veröffentlichen. Sie können dennoch gerne vorab mit uns in Kontakt treten, um Ihr Sponsor-Paket vorab zu sichern. <br />
<br />
Ihr Ansprechpartner ist [mailto:alexios.fakos@owasp.org Alexios Fakos].<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
== Programm ==<br />
Das Programm wird in Kürze veröffentlicht<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf startet in Kürze<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Alexioshttps://wiki.owasp.org/index.php?title=Germany&diff=233786Germany2017-09-27T09:58:26Z<p>Alexios: /* Sponsoren des German OWASP Chapters */ X-cellent hat Sponsorship gekuendigt</p>
<hr />
<div><br />
__NOTOC__<br />
<br />
<!-- NOTOC ging nicht mehr f.d. Übersicht. Leider hat man dem Englischen dann doppelte ÜS. Hoffe, das ist angesichts der schmalen nur englisch verstehenden Leserschaft ok. Denke auch, der Aufwand zur Pflege ist so adäquat<br />
08/2015: NOTOC wieder eingestellt, da kein Englisch mehr, Fehler mit doppelten Zeichen nicht nachvollziehbar<br />
<br />
{{Chapter Template|chaptername=Germany}}<br />
--> <br />
<div style="height:11em;">[[Image:owasp_germany_logo.png|right]]</div><br />
<!-- mediawiki ist zu dumm, um Bilder ordentlich darzustellen, darum das DIV mit style= --><br />
<br />
----<br />
<!-- Top News: auf hellblauem Hintergrund ganz oben auf der Seite --><div style="background-color:rgb(153,204,255);margin:2em;padding-left:1em;height:8em;"><br />
<br />
<br />
<b><u>Save the date!</u></b> The next '''German OWASP Day''' will be held on '''14.11.2017''' in Essen!<br />
<br />
The [[GOD_2017_CFP|Call for Presentations (CfP)]] is now closed. A first program will be announced soon :)<br />
</div><br />
----<br />
<br />
==Über OWASP==<br />
OWASP ist eine unabhängige, weltweite Community mit dem Ziel, die Bedeutung der Sicherheit von Webanwendungen »sichtbar zu machen« Know-How zur Entwicklung und den Betrieb sicherer Webanwendungen zu verbreiten und frei zur Verfugung zu stellen. Sämtliche OWASP-Instrumente, wie Dokumente, Videos, Slides, Podcasts etc. sind kostenlos unter einer freien Lizenz verwendbar.<br />
<br />
OWASP ist frei, offen und herstellerunabhängig. Alle Interessierten sind herzlich willkommen etwa in [https://www.owasp.org/index.php/Category:OWASP_Project Projekten] mitzuarbeiten oder nur am Wissen zu partizipieren. Eine prima Gelegenheit sich einen Eindruck zu verschaffen, sind die <u>[[OWASP_German_Chapter_Stammtisch_Initiative|OWASP Stammtische]]</u>, die regelmäßig in vielen deutschen Großstädten stattfinden. <br />
<br />
== '''OWASP German Chapter''' ==<br />
The chapter leader is [mailto:tobias.glemser@owasp.org Tobias Glemser].<br />
<br />
Chapter Board members are (in alphabetical order):<br />
[mailto:achim@owasp.org Achim Hoffmann],<br />
[mailto:alexios.fakos@owasp.org Alexios Fakos],<br />
[mailto:bastian.braun@owasp.org Bastian Braun],<br />
[mailto:bjoern.kimminich@owasp.org Bjoern Kimminich],<br />
[mailto:boris@owasp.org Boris Hempkemeier],<br />
[mailto:christian.becker@owasp.org Christian Becker],<br />
[mailto:dirk@owasp.org Dirk Wetter],<br />
[mailto:henrik.willert@owasp.org Henrik Willert],<br />
[mailto:ingo.hanke@owasp.org Ingo Hanke],<br />
[mailto:jan.wolff@owasp.org Jan Wolff],<br />
[mailto:martin.johns@owasp.org Martin Johns],<br />
[mailto:michael.schaefer@owasp.org Michael Schäfer],<br />
[mailto:ralf.reinhardt@owasp.org Ralf Reinhardt],<br />
[mailto:tobias.glemser@owasp.org Tobias Glemser] <br />
<br />
<br />
;Twitter: <u>[https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]</u><br />
;Mailing-Liste: <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org]</u> <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u><br />
----<br />
<br />
<br />
=== Projekte des German Chapter ===<br />
----<br />
Das German Chapter initiiert oder beteiligt sich an <u>[[:Category:OWASP_Project|OWASP Projekten]]</u>. Was das deutsche Chapter auf die Beine gestellt hat, kann sich blicken lassen, ein Ausschnitt:<br />
<br />
* OWASP SSL advanced forensic tool - O-Saft<br />
* OWASP Juice Shop<br />
* OWASP Top 10 Privacy Risks Project<br />
* OWASP Top 10 für Entwickler<br />
* OWASP Top 10 2013: Deutsche Übersetzung<br />
* Best Practices: Web Application Firewalls<br />
<br />
Mehr? Siehe Liste der <u>[[Germany/Projekte|deutschen Projekte]]</u>.<br />
<br />
=== OWASP Stammtisch-Initiative ===<br />
----<br />
<br />
In mehreren Städten gibt es <u>[[Germany/Stammtisch_Initiative|OWASP-Stammtische]]</u>, bei denen man sich in lockerer Runde trifft, um sich auszutauschen, nette Leute kennenzulernen oder ernsthafte Sicherheitsthemen zu diskutieren -- meinstens mit Vortrag.<br />
<br />
Aktive Stammtische gibt es (Stand August 2017) in: <br />
[[OWASP_German_Chapter_Stammtisch_Initiative/München|München]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt|Frankfurt]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Stuttgart|Stuttgart]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Köln|Köln]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Hamburg|Hamburg]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Karlsruhe|Karlsruhe]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Dresden|Dresden]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Ruhrpott|Ruhrpott]],<br />
[http://lists.owasp.org/pipermail/owasp-germany/2017-August/001012.html Heilbronn-Franken <b>(neu)</b>]<br />
<br />
=== Aktuelleres / Historisches ===<br />
;14.11.2017: [[German_OWASP_Day_2017|9ter German OWASP Day in Essen]]<br />
----<br />
;11./12.09.2017: [[Cheat Sheet Workshop|Cheat Sheet Workshop in Frankfurt]]<br />
;29.11.2016: [[German_OWASP_Day_2016|8ter German OWASP Day in Darmstadt]]<br />
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]<br />
;06.10.2015: Das OWASP German Chapter wird auch in diesem Jahr dank der Unterstützung der Nürnberg Messe auf der it-sa mit einem eigenen Stand (12.0-123) vertreten sein. Wir freuen uns auf spannende Gespräche am Stand. <br />
<!--<br />
[[Image:it-sa-2015-Logo-rgb-72dpi.jpg|300px|center|link=https://www.it-sa.de/|Logo it-sa Fair]]<br />
Ich habe das Logo weggenommen, da it-sa eine kommerzielle Organisation ist (dirk)<br />
--><br />
;13.04.2015: <u>[https://lists.owasp.org/pipermail/owasp-germany/2015-March/000758.html German OWASP Chapter Meeting]</u> in Frankfurt <br />
;23.01.2015: Übesetzung der '''OWASP Top 10 von 2013''' in Deutsch <u>[[Germany/Projekte/Top_10|OWASP Top 10: Deutsche Übersetzung]]</u><br />
;09.12.2014: <u>[[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]</u><br />
;14.03.2014: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind <u>[[Germany/Chapter_Meetings|hier]]</u> zu finden.<br />
;20. - 23.08.2013: Das German Chapter veranstaltete die <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
;10.08.2013: Partnerschaft mit dem <u>[http://www.isaca.de/ ISACA Germany Chapter e.V.]</u>: Zum Nutzen für Mitgleider beider Seiten wurde mit dem ISACA Germany Chapter e.V. eine Partnerschaft geschlossen. Die Partnerschaft ermöglicht es Mitgliedern des ISACA Germany Chapter e.V. an der OWASP AppSec Research 2013 zu vergünstigten Konditionen teilzunehmen. Das OWASP German Chapter erhält Gelegenheit auf ISACA Konferenzen präsent zu sein. Wir freuen uns sehr auf die Partnerschaft.<br />
;01.07.2013: Programm für AppSec Research EU 2013 ist <u>[http://owaspappseceu2013.sched.org/ online]</u> <!-- http://sched.appsec.eu/ ist Tracking-Seite, grrrr --><br />
;10.06.2013: Registrierung für AppSec Research EU 2013 ist hier <u>https://appsec.eu/registration/</u> .<br />
;17.05.2013: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind <u>[[Germany/Chapter_Meetings|hier]]</u> zu finden.<br />
;22.02.2013: German Chapter Meeting findet am '''17.05.2013''' in Frankfurt statt.<br />
;5.12.2012: Das German Chapter veranstaltet die <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
: The German Chapter is proud announcing <u>[[AppSecEU2013|date and location]]</u> of AppSecEU 2013.<br />
;10.11.2012: <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]:</u> Die hochrangige Websicherheitskonferenz war ein voller Erfolg: Dank gilt allen Besuchern -- gut ein Drittel mehr als letztes Jahr -- Sprechern und Sponsoren.<br />
;07.11.2012: <u>[[Germany/Chaptersponsor|Chapter Sponsoring]]</u> möglich.<br />
;03.11.2012: Webseite des [[Germany|OWASP German Chapter]] neu strukturiert.<br />
;10.09.2012: <u>[[German_OWASP_Day_2012/Programm|Programm]]</u> für <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u> in München am 7.11.2012 steht<br />
;13.07.2012: Am Ende der AppSecEU 2012 wurde offiziell verkündet, dass das Deutsche Chapter die AppSec Research 2013 hostet. Ort Hamburg, Zeit: Juli <br />
;02.05.2012: Call for Presentations eröffnet für <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u>. Ort: München<br />
<br />
Weitere Nachrichten sind <u>[[Germany/Aktuelles|im Archiv]]</u>.<br />
<br />
=== Unsere Konferenzen ===<br />
----<br />
;01.12.2015: <u>[[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]</u><br />
;09.12.2014: <u>[[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]</u><br />
;20-23.08.2013: Das German Chapter organisierte die (europäische) <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
;7.11.2012: <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u> in München<br />
<br />
Eine Liste aller vom OWASP German Chapter durchgeführten Konferenzen ist <u>[[Germany/Konferenzen|hier]]</u> zu finden.<br />
<br />
=== Chapter Meetings ===<br />
----<br />
Nächstes Chapter Meeting am '''31.03.2017''' in München, siehe <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>.<br />
<br />
Das German Chapter trifft sich in unregelmäßigen Abständen, um die Arbeit innerhalb des German Chapter zu organisieren. Unser Chapter hat die Besonderheit, dass wir unter unserem Dach, die einzelnen Stammtische haben -- die in anderen Ländern als Chapter organisiert sind. Insofern sind<br />
unsere Chapter Meetings eine Mischung aus Vortrag und Organisation.<br />
<br />
Gemäß dem ''O'' in OWASP für ''open'' sind diese Treffen öffentlich. Jedermann kann daran teilnehmen und sich ander Arbeit im Chpater beteiligen. Der Termin zum Treffen -- Chapter Meeting -- wird auf dieser Seite bekannt gegegebn, zusammen mit der Agenda. Selbstverständlich sind auch alle Ergebnisse der Treffen öffentlich. Was auf den vergangenen Treffen jeweils besprochen / beschlossen wurde ist auf der <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>-Seite zu finden.<br />
<br />
Letztes Chapter Meeting war am '''13.04.2015''' in Frankfurt. Details sind auf der <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>-Seite zu finden<br />
<br />
=== So erreichen Sie uns ===<br />
----<br />
;E-Mail: ...in Kürze ... <!-- [mailto:kontakt@owasp.de] [mailto:info@owasp.de] --><br />
;Twitter: <u>[https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]</u><br />
;Mailing-Liste: <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org]</u> <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u><br />
<br />
Mitarbeit am OWASP German Chapter ist willkommen. Wir freuen uns auf Beiträge in unserer <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany Mailingliste]</u>. Diese sollten natürlich einen Bezug zu (Web-)Anwendungssicherheit haben. Denkbar sind also u. A. Fragen, Tipps, aktuelle Hinweise, Stellenangebote oder Projektgesuche. Es gibt auch ein <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u> von der Liste. Wenn Sie nicht an den Meetings teilnehmen können, kontaktieren Sie einfach einen der German Chapter Board Members (siehe oben) oder schreiben Sie eine E-Mail an uns [mailto:owasp-germany@lists.owasp.org chapter mailing list].<br />
<br />
=== Presse ===<br />
----<br />
Informationen für die Presse finden sich <u>[[Germany/press|hier]]</u><br />
<br />
<br />
=== Sponsoren des German OWASP Chapters ===<br />
<br />
<!-- Sponsoren: bitte 3-spaltige Tabelle benutzen, damit genuegend Abstand zwischen den Bildern --><br />
{| style="background-color:inherit;" width="99%"<br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]<br />
|-<br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
| [[Image:Cyberday-logo_8700px_square.png|link=https://www.cyberday-gmbh.de|www.cyberday-gmbh.de]]<br />
|-<br />
| [[Image:Banner_TUViT.png|link=https://www.tuvit.de/de|www.tuvit.de]]<br />
| [[Image:binsec.png|link=http://www.binsec.de/|www.binsec.de]]<br />
|-<br />
| [[Image:xing_logo.png|link=https://corporate.xing.com/english/company/security-at-xing/|www.xing.com]]<br />
| [[Image:acunetix_max_8700px.png|link=https://www.acunetix.com/|www.acunetix.com]]<br />
|- |<br />
|-<br />
|<br />
| <br />
|- |<br />
|<br />
|<br />
|}<br />
<br />
Unser Angebot an Sponsoren / Offer for Chapter Sponsors: <u>[[Germany/Chaptersponsor|OWASP German Chapter Sponsorship]]</u>.<br />
<br />
<br />
<br />
----<br />
<small>(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)</small><br />
<br />
[[Category:Germany]] <br />
[[Category:Europe]]</div>Alexioshttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016/CfP&diff=219622German OWASP Day 2016/CfP2016-07-29T22:56:32Z<p>Alexios: /* Programmkomitee */</p>
<hr />
<div><!--<br />
{{TOC left}}<br />
--><br />
<br />
== Deutscher OWASP-Tag 2016 (DE) ==<br />
<br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal! Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29.11.2016 in Darmstadt statt.<br />
<br />
=== Call For Presentations ===<br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch, Vorträge in Englisch sind auch willkommen. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. <br />
OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketing.<br />
<br />
Herstellern und Dienstleistern bieten wir im Rahmen des Sponsorings eine geeignete Marketingplattform.<br />
<br />
=== Fachliches ===<br />
Für Vortragsvorschläge bitten wir um eine Kurzzusammenfassung und -- sofern vorhanden --um eine Vorabversion des Vortrags. Die Zusammenfassung sollte nicht weniger als 500 (maximal: 4000) Zeichen lang sein. (Bitte auf Orthographie achten, da die Zusammenfassung so, wie sie ist, ggf. im Programm erscheint). Die gilt ebenso für die obligatorische Kurzbiographie (150-800 Zeichen). Die Präsentationen werden voraussichtlich 20 oder 40 Minuten dauern, plus 5 Minuten Diskussion.<br />
<br />
Erwünscht sind alle Themen mit Bezug zu (Web)-Applikationssicherheit und OWASP, insbesondere:<br />
<br />
* Praxisrelevante technische Vorträge <br />
* Neue Forschungsergebnisse <br />
* Mobile Security<br />
* Sichere Webanwendungen in der Cloud<br />
* Browsersicherheit<br />
* Sicherheit bei Web Services (REST, XML)<br />
* Secure Development Lifecycle<br />
* Datenschutz in Webapplikationen<br />
* Security-Programme für Entwickler, Tester, Architekten und Projektleiter<br />
* Security Management für Webanwendungen<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Statische Code Analyse<br />
* Neues zu OWASP-Projekten <br />
<br />
Wir bieten einen Track an. Folien der Vorträge werden unter der freien OWASP-Lizenz auf der Konferenzwebseite veröffentlicht. Daher muss spätestens bei Annahme des Beitrags durch das Programmkomitee das <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> ohne Änderung akzeptiert und unterschrieben werden. Das Speaker Agreement sieht vor, dass die Standardfoliensätze von OWASP verwendet werden (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Kosten (für Reise und Unterkunft) können wir leider nicht übernehmen.<br />
<br />
'''Alle Teilnehmer sowie Vortragende sind herzlich zur Abendveranstaltung am 28. November eingeladen (Details werden noch bekannt gegeben).'''<br />
<br />
=== Programmkomitee ===<br />
<br />
* Ben Stock (CISPA, Uni Saarland)<br />
* Alexios Fakos (Airbus Defence and Space)<br />
* Ingo Hanke (IDEAS, Conference Chair)<br />
* Mario Heiderich (Cure53)<br />
* Boris Hemkemeier (Commerzbank)<br />
* Martin Johns (SAP, PC Chair)<br />
* Sebastian Lekies (Google)<br />
* Sebastian Schinzel (Hochschule Münster)<br />
* Henrik Willert (1&1)<br />
* Jan Wolff (Bosch)<br />
<br />
=== Termine / Einreichung ===<br />
<br />
Einreichungen ausschließlich online bis zum '''01. Oktober 2016''' über https://easychair.org/conferences/?conf=owaspger16<br />
<br />
* Bitte geben Sie alle vortragsrelevanten Informationen an (siehe Call for Presentations oben):<br />
** Abstract<br />
** Bio<br />
** Länge<br />
** ggf. Foliensätze<br />
<br />
* Fristen/Termine<br />
** CfP schließt: 01.10.2016<br />
** Benachrichtigung der Einreicher: 07.10.2016<br />
** Konferenz: 29.11.2016<br />
<br />
<br/><br />
<br />
== German OWASP Day 2016 (EN) ==<br />
<br />
The German Chapter of the Open Web Application Security Project (OWASP) is organizing their German OWASP Conference. This German OWASP Day is the most important, independent and non-commercial conference in Germany related to application security. <br />
<br />
The conference will take place in Darmstadt on the 29th of November 2016.<br />
<br />
=== Call For Presentations ===<br />
<br />
The conference is aiming at German folks, correspondingly the conference language is German but English presentations are welcome as well. The German OWASP Day is a true security conference, with expected talks and presentations on secure software development, usage, test and management, all around web based applications. Non-technical talks are welcome as well. Please refrain from submitting marketing pitches. Sponsors will have a separate possibilities for marketing.<br />
<br />
=== CfP in detail ===<br />
<br />
To submit a proposal, please submit <u>[https://easychair.org/conferences/?conf=owaspger15 online]</u> an abstract of the presentation (500 to 4000 characters) and a brief biography (150 to 800 characters). The planned presentation time is 20 or 40 minutes (excl. 5 minutes for discussion). You can also attach a preliminary version of your presentation. (Please watch out for mistakes as we'll take your abstract and publish it 1:1 together in our program).<br />
<br />
We are interested in all topics related to (Web) Application Security and OWASP, in particular:<br />
<br />
* Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.<br />
* Research topics in web security <br />
* Frameworks and best practices for secure development<br />
* Mobile Security<br />
* Cloud Security, specifically secure Cloud Apps<br />
* Browser Security<br />
* Security in Web Applications and Web Services (REST, XML)<br />
* Secure Development Lifecycle<br />
* Privacy protection in web based apps<br />
* Security programs for developers, testers, architects and project owners<br />
* Security management for application<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Static Code Analysis<br />
* Updates to OWASP Projects<br />
<br />
We will offer either one track. All presentations will be published on the conference website under the OWASP license. Therefore all speakers must accept and sign the <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> without changes prior to the conference. It requires that you use one of the following templates: (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Unfortunately we can't cover any travel expenses or costs for accommodation.<br />
<br />
'''Participants and speakers are all warmly invited to attend the evening program on November 28th (details to be announced).'''<br />
<br />
<br />
=== Program Committee ===<br />
<br />
* Ben Stock (CISPA, Uni Saarland)<br />
* Alexios Fakos (PWC)<br />
* Ingo Hanke (IDEAS, Conference Chair)<br />
* Mario Heiderich (Cure53)<br />
* Boris Hemkemeier (Commerzbank)<br />
* Martin Johns (SAP, PC Chair)<br />
* Sebastian Lekies (Google)<br />
* Sebastian Schinzel (Hochschule Münster)<br />
* Henrik Willert (1&1)<br />
* Jan Wolff (Bosch)<br />
<br />
=== Deadlines ===<br />
<br />
Submissions no later than October 9th, 2015 only online via https://easychair.org/conferences/?conf=owaspger16<br />
<br />
* Please read and follow the requirements above: <br />
** Abstract<br />
** bio<br />
** length <br />
** and if possible slides<br />
<br />
* Dates:<br />
** CfP closes: '''October 1st, 2016'''<br />
** Notification of acceptance by October 7th, 2016 <br />
** Conference: November 29th, 2016<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2015]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2015/CfP <top>] [[German_OWASP_Day_2015|<zurück>]] [[Germany|<Germany>]]<br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]] [[Category:CfP]]</div>Alexioshttps://wiki.owasp.org/index.php?title=OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt&diff=212012OWASP German Chapter Stammtisch Initiative/Frankfurt2016-03-29T07:11:20Z<p>Alexios: /* #24 | OWASP Stammtisch Frankfurt | 25.02.2016, 19:30h */</p>
<hr />
<div>[[Category:Germany]] [[Category:Stammtisch]]<br />
<br />
== Orientierung ==<br />
<br />
=== Wann === <br />
Immer am letzten Donnerstag im Monat, um 19:30 Uhr<br />
<br />
=== Wo === <br />
Bei einem Gastgeber in Frankfurt, u.U. auch im Rhein-Main-Gebiet. Details findest du unter [[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt#Aktuelles|Aktuelles]]<br />
<br />
=== Ablauf === <br />
Vortrag bei einem Gastgeber mit Erfahrungsaustausch und einem geselligen Ausklang in der Nachbarschaft (optional)<br />
<br />
=== Etiquette === <br />
<br />
Wie bei OWASP üblich: Bitte kein Marketing!!! Wir respektieren die OWASP [https://www.owasp.org/index.php?title=Speaker_Agreement | Speaker Agreement] Regeln.<br />
<br />
=== Organisation === <br />
<br />
Wer Interesse hat beim Stammtisch mitzuwirken oder ihn mitzugestalten, bitte bei Alexios melden (alexios punkt fakos aet owasp puhunkt org). Danke!<br />
<br />
Vorträge wie Gastgeber sind jederzeit willkommen. <br />
Die Treffen werden über die [https://lists.owasp.org/mailman/listinfo/owasp-germany/ OWASP Deutschland Mailing-Liste], [https://lists.owasp.org/mailman/listinfo/owasp-frankfurt OWASP Stammtisch Frankfurt Mailing-Liste], [https://twitter.com/owasp_f Twitter], XING [https://www.xing.com/communities/groups/owasp-stammtisch-frankfurt-21f9-1075280 OWASP Stammtisch Frankfurt] und über die Meetup Gruppe [http://www.meetup.com/de/IT-Security-Stammtisch-Frankfurt-OWASP-u-w/ Meetup] angekündigt.<br />
<br />
<br />
<br />
[https://www.owasp.org/images/5/5d/PPT_2013_Toolbox.zip Präsentationsvorlage] und [https://www.owasp.org/images/7/76/OWASP_Presentation_Template.zip Alternative]<br />
<br />
=== Weiteres === <br />
<br />
Über OWASP Germany im Allgemeinen und den Stammtisch Frankfurt <br />
([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_spread_the_word_v1.0.pdf|DOWNLOAD]])<br />
<br />
== Aktuelles ==<br />
==== #25 | OWASP Stammtisch Frankfurt | 31.03.2016, 19:30h ====<br />
Wir laden euch herzlich ein:<br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.2em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:0px;cursor:default;border-color: #8ed9f6;"><br />
'''31.03.2016, 19:30h''' im <br />
</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.1em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:10px;cursor:default;border-color: #8ed9f6;"><br />
Westend Tower (DZ BANK AG),Mainzer Landstr. 58, 60325 Frankfurt am Main [Eingang bei der Skulptur „fliegende Krawatte“]</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.0em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:20px;cursor:default;border-color: #8ed9f6;"><br />
([https://www.dzbank.de/content/dam/dzbank_de/de/home/profil/dzbankag/pdf_dokumente/Adressen-und-Standorte/Anfahrt_Frankfurt.pdf Anfahrtsbeschreibung], [https://goo.gl/maps/8QBdoqzZHwF2 Google Maps], [http://her.is/1Rmu04D HERE Maps])<br />
</code><br />
<br />
<br />
Vortrag von Manuel Giesel und Johannes Schönborn mit dem Titel: „1x1 der Threat Intelligence”.<br />
<br />
Zwecks Planung bitte ich dich, sowie Neugierige und Interessierte, euch<br />
vorab per [http://doodle.com/ez7k3x4uqav4h2ef Doodle anzumelden]. Danke!<br />
<br />
<br />
Für den Konferenzraum ist eine Zutrittsberechtigung erforderlich. Wir freuen uns sehr, wenn du dich kurz vor 19:30 Uhr im Foyer einfindest, damit wir gemeinsam zum Konferenzraum gehen können. Solltest du ein wenig später ankommen, so frage bei der Rezeption nach dem OWASP Stammtisch. Wir holen dich dann ab.<br />
<br />
== Bisherige Stammtische / Treffen ==<br />
<br />
==== #24 | OWASP Stammtisch Frankfurt | 25.02.2016, 19:30h ====<br />
Vortrag: Boban Krsic | „IT-Sicherheitsgesetz - und nun?“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt-IT-SiG-und-nun-2016.02.25.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #23 | OWASP Stammtisch Frankfurt | 28.01.2015, 19:30h ====<br />
Vortrag: Christoph | „Social Engineering“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt-Social_Engineering-2016.01.28.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #22 | OWASP Stammtisch Frankfurt | 26.11.2015, 19:30h ====<br />
Vortrag: Johannes Schönborn | „Faraday: Pentesting goes Multiplayer“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #21 | OWASP Stammtisch Frankfurt | 29.10.2015, 19:30h ====<br />
Vortrag: Khalil Bijjou | „Web Application Firewall Bypassing - how to defeat the blue team“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Web_Application_Firewall_Bypassing_-_how_to_defeat_the_blue_team_-_2015.10.29.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #20 | OWASP Stammtisch Frankfurt | 24.09.2015, 19:30h ====<br />
Vortrag: Jan Philipp | „Security Challenges of Cloud Providers“ („Wie baue ich sichere Luftschlösser in den Wolken”) ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Cloud_Provider_Challenges_-_2015.09.24.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #19 | OWASP Stammtisch Frankfurt | 27.08.2015, 19:30h ====<br />
Vortrag: Manuel Giesel und Johannes Schönborn | „Lust und Frust bei der Netzwerk-Anomalieerkennung<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #18 | OWASP Stammtisch Frankfurt | 30.07.2015, 19:30h ====<br />
Vortrag: Katharine Brylski | Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_BestOfKonzept_Sicherheitsanalysen_Webanwendungen_20150730.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #17 | OWASP Stammtisch Frankfurt | 25.06.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | (Un)Sicherheit bei ihrer Applikation? Präventiv statt reaktiv ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_%28Un%29Sicherheit.bei.ihrer.Applikation_20150628.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #16 | OWASP Stammtisch Frankfurt | 28.05.2015, 19:30h ====<br />
Vortrag: Marius Klimmek | Sowas wie Botnetze – Die dunkle Gefahr der Zombie Armee ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Botnetze-Presentation_20150525.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #15 | OWASP Stammtisch Frankfurt | 30.04.2015, 19:30h ====<br />
Vortrag: Daniel Zelle | Einführung und Überblick - Von Car2X- bis In-Vehicel-Security ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Von_Car2X-_bis_In-Vehicle-Security_20150430.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #14 | OWASP Stammtisch Frankfurt | 26.03.2015, 19:30h ====<br />
Vortrag: Michael Ritter | Web Application Firewall Profiling ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_WAF_Profiling_and_Evasion.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #13 | OWASP Stammtisch Frankfurt | 26.02.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | Polyglotte Angriffsvektoren<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #12 | OWASP Stammtisch Frankfurt | 29.01.2015, 19:30h ====<br />
Vortrag: Jan Philipp | SharePoint Sicherheit im 'schlüpfrigen' Griff ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-SharePoint.Sicherheit.im.Griff-20150129.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #11 | OWASP Stammtisch Frankfurt | 27.11.2014, 19:30h ====<br />
Vortrag: Johannes Schönborn | APT – the Good – the Bad, the Ugly<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #10 | OWASP Stammtisch Frankfurt | 30.10.2014, 19:30h ====<br />
Der OWASP Stammtisch Frankfurt feierte sein Comeback!<br> <br />
Vortrag: Alexander Klink | Denial of Service auf Applikationsebene ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-DoS.auf.Applikationsebene-20141030.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== 3. Rhein-Main-OWASP-Stammtisch findet am 27.11.2013 , 19:00 statt ====<br />
Der dritte Rhein-Main-OWASP Stammtisch findet am 27.11.2013 um 19:00 in der Weinbar [http://www.vinothek-wangenrot.de/weinbar-vinothek-mainz.html Wangenrot] am Stephansplatz 1 in Mainz statt.<br />
<br />
==== 2. Rhein-Main-OWASP-Stammtisch findet am 26.09.2013, 18:30 statt ====<br />
Der zweite Rhein Main Stammtisch findet am 26.09.2013 ab 19:00 in Frankfurt im [http://www.ristorante-vitavera.de/1.html Vita Vera] statt.<br />
Bitte meldet euch per Email bei markus.miedaner@owasp.org damit wir genügend Sitzplätze haben.<br />
<br />
==== 1. Rhein-Main-OWASP-Stammtisch findet am 25.06.2013, 18:30 statt ====<br />
Der Frankfurter OWASP Stammtisch heißt nun Rhein Main Stammtisch. Der erste Rhein-Main Stammtisch fand am 25.06.2013 in Frankfurt statt.<br />
<br />
===== Der 6. Frankfurter OWASP Stammtisch fand am 21.11.2012 statt =====<br />
<br />
Thema des Stammtisches ist der Rückblick auf den German OWASP Day 2012.<br />
<br />
===== Der 5. Frankfurter OWASP Stammtisch findet am 26.09.2012, 18:30 statt =====<br />
<br />
ACHTUNG: Der 5. OWASP Stammtisch Frankfurt wird im [http://www.ristorante-vitavera.de/1.html Vita Vera] in der [https://maps.google.de/maps?oe=utf-8&ie=UTF-8&q=vita+vera+frankfurt&fb=1&gl=de&hq=vita+vera&hnear=0x47bd096f477096c5:0x422435029b0c600,Frankfurt&cid=0,0,6042038627906823373&ei=mnhXUMP9Nu324QTK24GYCQ&ved=0CJEBEPwSMAM Windmühlenstr. 14, 60329 Frankfurt am Main] stattfinden. Wir suchen eigentlich ein Lokal in dem man auch einmal einen Vortrag halten kann mit anschließender Diskussion. Das haben wir noch nicht gefunden. Bevor deshalb der Stammtisch nie stattfindet, wollen wir ihn zumindest zum Austausch über Securitythemen und Netzwerken stattfinden lassen. Das Lokal liegt in unmittelbarer Bahnhofsnähe, Parkgelegenheiten sind auch vorhanden.<br />
<br />
===== Der 4. Frankfurter OWASP Stammtisch findet am 23.11.2011 statt =====<br />
<br />
ACHTUNG: Der 4. OWASP Stammtisch Frankfurt wird im [http://www.depot1899.de/ Depot 1899] in der [http://j.mp/uHFH9X Textorstraße 33, 60594 Frankfurt am Main] stattfinden. Wir testen gerade Lokale aus in denen man vielleicht auch einmal einen Vortrag halten kann mit anschließender Diskussion.<br />
<br />
===== Der 3. Frankfurter OWASP Stammtisch findet am 21.09.2011 statt =====<br />
<br />
Der 3. OWASP Stammtisch Frankfurt wird wieder in der [http://j.mp/piQdaP Arche Nova, Kasseler Str. 1a, Frankfurt a.M.] stattfinden.</div>Alexioshttps://wiki.owasp.org/index.php?title=File:OWASP_Stammtisch_Frankfurt-IT-SiG-und-nun-2016.02.25.pdf&diff=212011File:OWASP Stammtisch Frankfurt-IT-SiG-und-nun-2016.02.25.pdf2016-03-29T07:10:49Z<p>Alexios: </p>
<hr />
<div></div>Alexioshttps://wiki.owasp.org/index.php?title=OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt&diff=211864OWASP German Chapter Stammtisch Initiative/Frankfurt2016-03-27T14:30:52Z<p>Alexios: /* #25 | OWASP Stammtisch Frankfurt | 31.03.2016, 19:30h */</p>
<hr />
<div>[[Category:Germany]] [[Category:Stammtisch]]<br />
<br />
== Orientierung ==<br />
<br />
=== Wann === <br />
Immer am letzten Donnerstag im Monat, um 19:30 Uhr<br />
<br />
=== Wo === <br />
Bei einem Gastgeber in Frankfurt, u.U. auch im Rhein-Main-Gebiet. Details findest du unter [[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt#Aktuelles|Aktuelles]]<br />
<br />
=== Ablauf === <br />
Vortrag bei einem Gastgeber mit Erfahrungsaustausch und einem geselligen Ausklang in der Nachbarschaft (optional)<br />
<br />
=== Etiquette === <br />
<br />
Wie bei OWASP üblich: Bitte kein Marketing!!! Wir respektieren die OWASP [https://www.owasp.org/index.php?title=Speaker_Agreement | Speaker Agreement] Regeln.<br />
<br />
=== Organisation === <br />
<br />
Wer Interesse hat beim Stammtisch mitzuwirken oder ihn mitzugestalten, bitte bei Alexios melden (alexios punkt fakos aet owasp puhunkt org). Danke!<br />
<br />
Vorträge wie Gastgeber sind jederzeit willkommen. <br />
Die Treffen werden über die [https://lists.owasp.org/mailman/listinfo/owasp-germany/ OWASP Deutschland Mailing-Liste], [https://lists.owasp.org/mailman/listinfo/owasp-frankfurt OWASP Stammtisch Frankfurt Mailing-Liste], [https://twitter.com/owasp_f Twitter], XING [https://www.xing.com/communities/groups/owasp-stammtisch-frankfurt-21f9-1075280 OWASP Stammtisch Frankfurt] und über die Meetup Gruppe [http://www.meetup.com/de/IT-Security-Stammtisch-Frankfurt-OWASP-u-w/ Meetup] angekündigt.<br />
<br />
<br />
<br />
[https://www.owasp.org/images/5/5d/PPT_2013_Toolbox.zip Präsentationsvorlage] und [https://www.owasp.org/images/7/76/OWASP_Presentation_Template.zip Alternative]<br />
<br />
=== Weiteres === <br />
<br />
Über OWASP Germany im Allgemeinen und den Stammtisch Frankfurt <br />
([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_spread_the_word_v1.0.pdf|DOWNLOAD]])<br />
<br />
== Aktuelles ==<br />
==== #25 | OWASP Stammtisch Frankfurt | 31.03.2016, 19:30h ====<br />
Wir laden euch herzlich ein:<br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.2em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:0px;cursor:default;border-color: #8ed9f6;"><br />
'''31.03.2016, 19:30h''' im <br />
</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.1em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:10px;cursor:default;border-color: #8ed9f6;"><br />
Westend Tower (DZ BANK AG),Mainzer Landstr. 58, 60325 Frankfurt am Main [Eingang bei der Skulptur „fliegende Krawatte“]</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.0em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:20px;cursor:default;border-color: #8ed9f6;"><br />
([https://www.dzbank.de/content/dam/dzbank_de/de/home/profil/dzbankag/pdf_dokumente/Adressen-und-Standorte/Anfahrt_Frankfurt.pdf Anfahrtsbeschreibung], [https://goo.gl/maps/8QBdoqzZHwF2 Google Maps], [http://her.is/1Rmu04D HERE Maps])<br />
</code><br />
<br />
<br />
Vortrag von Manuel Giesel und Johannes Schönborn mit dem Titel: „1x1 der Threat Intelligence”.<br />
<br />
Zwecks Planung bitte ich dich, sowie Neugierige und Interessierte, euch<br />
vorab per [http://doodle.com/ez7k3x4uqav4h2ef Doodle anzumelden]. Danke!<br />
<br />
<br />
Für den Konferenzraum ist eine Zutrittsberechtigung erforderlich. Wir freuen uns sehr, wenn du dich kurz vor 19:30 Uhr im Foyer einfindest, damit wir gemeinsam zum Konferenzraum gehen können. Solltest du ein wenig später ankommen, so frage bei der Rezeption nach dem OWASP Stammtisch. Wir holen dich dann ab.<br />
<br />
== Bisherige Stammtische / Treffen ==<br />
<br />
==== #24 | OWASP Stammtisch Frankfurt | 25.02.2016, 19:30h ====<br />
Vortrag: Boban Krsic | „IT-Sicherheitsgesetz - und nun?“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #23 | OWASP Stammtisch Frankfurt | 28.01.2015, 19:30h ====<br />
Vortrag: Christoph | „Social Engineering“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt-Social_Engineering-2016.01.28.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #22 | OWASP Stammtisch Frankfurt | 26.11.2015, 19:30h ====<br />
Vortrag: Johannes Schönborn | „Faraday: Pentesting goes Multiplayer“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #21 | OWASP Stammtisch Frankfurt | 29.10.2015, 19:30h ====<br />
Vortrag: Khalil Bijjou | „Web Application Firewall Bypassing - how to defeat the blue team“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Web_Application_Firewall_Bypassing_-_how_to_defeat_the_blue_team_-_2015.10.29.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #20 | OWASP Stammtisch Frankfurt | 24.09.2015, 19:30h ====<br />
Vortrag: Jan Philipp | „Security Challenges of Cloud Providers“ („Wie baue ich sichere Luftschlösser in den Wolken”) ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Cloud_Provider_Challenges_-_2015.09.24.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #19 | OWASP Stammtisch Frankfurt | 27.08.2015, 19:30h ====<br />
Vortrag: Manuel Giesel und Johannes Schönborn | „Lust und Frust bei der Netzwerk-Anomalieerkennung<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #18 | OWASP Stammtisch Frankfurt | 30.07.2015, 19:30h ====<br />
Vortrag: Katharine Brylski | Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_BestOfKonzept_Sicherheitsanalysen_Webanwendungen_20150730.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #17 | OWASP Stammtisch Frankfurt | 25.06.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | (Un)Sicherheit bei ihrer Applikation? Präventiv statt reaktiv ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_%28Un%29Sicherheit.bei.ihrer.Applikation_20150628.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #16 | OWASP Stammtisch Frankfurt | 28.05.2015, 19:30h ====<br />
Vortrag: Marius Klimmek | Sowas wie Botnetze – Die dunkle Gefahr der Zombie Armee ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Botnetze-Presentation_20150525.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #15 | OWASP Stammtisch Frankfurt | 30.04.2015, 19:30h ====<br />
Vortrag: Daniel Zelle | Einführung und Überblick - Von Car2X- bis In-Vehicel-Security ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Von_Car2X-_bis_In-Vehicle-Security_20150430.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #14 | OWASP Stammtisch Frankfurt | 26.03.2015, 19:30h ====<br />
Vortrag: Michael Ritter | Web Application Firewall Profiling ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_WAF_Profiling_and_Evasion.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #13 | OWASP Stammtisch Frankfurt | 26.02.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | Polyglotte Angriffsvektoren<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #12 | OWASP Stammtisch Frankfurt | 29.01.2015, 19:30h ====<br />
Vortrag: Jan Philipp | SharePoint Sicherheit im 'schlüpfrigen' Griff ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-SharePoint.Sicherheit.im.Griff-20150129.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #11 | OWASP Stammtisch Frankfurt | 27.11.2014, 19:30h ====<br />
Vortrag: Johannes Schönborn | APT – the Good – the Bad, the Ugly<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #10 | OWASP Stammtisch Frankfurt | 30.10.2014, 19:30h ====<br />
Der OWASP Stammtisch Frankfurt feierte sein Comeback!<br> <br />
Vortrag: Alexander Klink | Denial of Service auf Applikationsebene ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-DoS.auf.Applikationsebene-20141030.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== 3. Rhein-Main-OWASP-Stammtisch findet am 27.11.2013 , 19:00 statt ====<br />
Der dritte Rhein-Main-OWASP Stammtisch findet am 27.11.2013 um 19:00 in der Weinbar [http://www.vinothek-wangenrot.de/weinbar-vinothek-mainz.html Wangenrot] am Stephansplatz 1 in Mainz statt.<br />
<br />
==== 2. Rhein-Main-OWASP-Stammtisch findet am 26.09.2013, 18:30 statt ====<br />
Der zweite Rhein Main Stammtisch findet am 26.09.2013 ab 19:00 in Frankfurt im [http://www.ristorante-vitavera.de/1.html Vita Vera] statt.<br />
Bitte meldet euch per Email bei markus.miedaner@owasp.org damit wir genügend Sitzplätze haben.<br />
<br />
==== 1. Rhein-Main-OWASP-Stammtisch findet am 25.06.2013, 18:30 statt ====<br />
Der Frankfurter OWASP Stammtisch heißt nun Rhein Main Stammtisch. Der erste Rhein-Main Stammtisch fand am 25.06.2013 in Frankfurt statt.<br />
<br />
===== Der 6. Frankfurter OWASP Stammtisch fand am 21.11.2012 statt =====<br />
<br />
Thema des Stammtisches ist der Rückblick auf den German OWASP Day 2012.<br />
<br />
===== Der 5. Frankfurter OWASP Stammtisch findet am 26.09.2012, 18:30 statt =====<br />
<br />
ACHTUNG: Der 5. OWASP Stammtisch Frankfurt wird im [http://www.ristorante-vitavera.de/1.html Vita Vera] in der [https://maps.google.de/maps?oe=utf-8&ie=UTF-8&q=vita+vera+frankfurt&fb=1&gl=de&hq=vita+vera&hnear=0x47bd096f477096c5:0x422435029b0c600,Frankfurt&cid=0,0,6042038627906823373&ei=mnhXUMP9Nu324QTK24GYCQ&ved=0CJEBEPwSMAM Windmühlenstr. 14, 60329 Frankfurt am Main] stattfinden. Wir suchen eigentlich ein Lokal in dem man auch einmal einen Vortrag halten kann mit anschließender Diskussion. Das haben wir noch nicht gefunden. Bevor deshalb der Stammtisch nie stattfindet, wollen wir ihn zumindest zum Austausch über Securitythemen und Netzwerken stattfinden lassen. Das Lokal liegt in unmittelbarer Bahnhofsnähe, Parkgelegenheiten sind auch vorhanden.<br />
<br />
===== Der 4. Frankfurter OWASP Stammtisch findet am 23.11.2011 statt =====<br />
<br />
ACHTUNG: Der 4. OWASP Stammtisch Frankfurt wird im [http://www.depot1899.de/ Depot 1899] in der [http://j.mp/uHFH9X Textorstraße 33, 60594 Frankfurt am Main] stattfinden. Wir testen gerade Lokale aus in denen man vielleicht auch einmal einen Vortrag halten kann mit anschließender Diskussion.<br />
<br />
===== Der 3. Frankfurter OWASP Stammtisch findet am 21.09.2011 statt =====<br />
<br />
Der 3. OWASP Stammtisch Frankfurt wird wieder in der [http://j.mp/piQdaP Arche Nova, Kasseler Str. 1a, Frankfurt a.M.] stattfinden.</div>Alexioshttps://wiki.owasp.org/index.php?title=OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt&diff=211863OWASP German Chapter Stammtisch Initiative/Frankfurt2016-03-27T14:28:32Z<p>Alexios: /* #25 | OWASP Stammtisch Frankfurt | 31.03.2016, 19:30h */</p>
<hr />
<div>[[Category:Germany]] [[Category:Stammtisch]]<br />
<br />
== Orientierung ==<br />
<br />
=== Wann === <br />
Immer am letzten Donnerstag im Monat, um 19:30 Uhr<br />
<br />
=== Wo === <br />
Bei einem Gastgeber in Frankfurt, u.U. auch im Rhein-Main-Gebiet. Details findest du unter [[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt#Aktuelles|Aktuelles]]<br />
<br />
=== Ablauf === <br />
Vortrag bei einem Gastgeber mit Erfahrungsaustausch und einem geselligen Ausklang in der Nachbarschaft (optional)<br />
<br />
=== Etiquette === <br />
<br />
Wie bei OWASP üblich: Bitte kein Marketing!!! Wir respektieren die OWASP [https://www.owasp.org/index.php?title=Speaker_Agreement | Speaker Agreement] Regeln.<br />
<br />
=== Organisation === <br />
<br />
Wer Interesse hat beim Stammtisch mitzuwirken oder ihn mitzugestalten, bitte bei Alexios melden (alexios punkt fakos aet owasp puhunkt org). Danke!<br />
<br />
Vorträge wie Gastgeber sind jederzeit willkommen. <br />
Die Treffen werden über die [https://lists.owasp.org/mailman/listinfo/owasp-germany/ OWASP Deutschland Mailing-Liste], [https://lists.owasp.org/mailman/listinfo/owasp-frankfurt OWASP Stammtisch Frankfurt Mailing-Liste], [https://twitter.com/owasp_f Twitter], XING [https://www.xing.com/communities/groups/owasp-stammtisch-frankfurt-21f9-1075280 OWASP Stammtisch Frankfurt] und über die Meetup Gruppe [http://www.meetup.com/de/IT-Security-Stammtisch-Frankfurt-OWASP-u-w/ Meetup] angekündigt.<br />
<br />
<br />
<br />
[https://www.owasp.org/images/5/5d/PPT_2013_Toolbox.zip Präsentationsvorlage] und [https://www.owasp.org/images/7/76/OWASP_Presentation_Template.zip Alternative]<br />
<br />
=== Weiteres === <br />
<br />
Über OWASP Germany im Allgemeinen und den Stammtisch Frankfurt <br />
([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_spread_the_word_v1.0.pdf|DOWNLOAD]])<br />
<br />
== Aktuelles ==<br />
==== #25 | OWASP Stammtisch Frankfurt | 31.03.2016, 19:30h ====<br />
Wir laden euch herzlich ein:<br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.2em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:0px;cursor:default;border-color: #8ed9f6;"><br />
'''31.03.2016, 19:30h''' im <br />
</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.1em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:10px;cursor:default;border-color: #8ed9f6;"><br />
Westend Tower (DZ BANK AG), Westendstraße 1, 60325 Frankfurt am Main [Eingang bei der Skulptur „fliegende Krawatte“]</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.0em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:20px;cursor:default;border-color: #8ed9f6;"><br />
([https://www.dzbank.de/content/dam/dzbank_de/de/home/profil/dzbankag/pdf_dokumente/Adressen-und-Standorte/Anfahrt_Frankfurt.pdf Anfahrtsbeschreibung], [https://goo.gl/maps/8QBdoqzZHwF2 Google Maps], [http://her.is/1Rmu04D HERE Maps])<br />
</code><br />
<br />
<br />
Vortrag von Manuel Giesel und Johannes Schönborn mit dem Titel: „1x1 der Threat Intelligence”.<br />
<br />
Zwecks Planung bitte ich dich, sowie Neugierige und Interessierte, euch<br />
vorab per [http://doodle.com/ez7k3x4uqav4h2ef Doodle anzumelden]. Danke!<br />
<br />
<br />
Für den Konferenzraum ist eine Zutrittsberechtigung erforderlich. Wir freuen uns sehr, wenn du dich kurz vor 19:30 Uhr im Foyer einfindest, damit wir gemeinsam zum Konferenzraum gehen können. Solltest du ein wenig später ankommen, so frage bei der Rezeption nach dem OWASP Stammtisch. Wir holen dich dann ab.<br />
<br />
== Bisherige Stammtische / Treffen ==<br />
<br />
==== #24 | OWASP Stammtisch Frankfurt | 25.02.2016, 19:30h ====<br />
Vortrag: Boban Krsic | „IT-Sicherheitsgesetz - und nun?“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #23 | OWASP Stammtisch Frankfurt | 28.01.2015, 19:30h ====<br />
Vortrag: Christoph | „Social Engineering“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt-Social_Engineering-2016.01.28.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #22 | OWASP Stammtisch Frankfurt | 26.11.2015, 19:30h ====<br />
Vortrag: Johannes Schönborn | „Faraday: Pentesting goes Multiplayer“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #21 | OWASP Stammtisch Frankfurt | 29.10.2015, 19:30h ====<br />
Vortrag: Khalil Bijjou | „Web Application Firewall Bypassing - how to defeat the blue team“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Web_Application_Firewall_Bypassing_-_how_to_defeat_the_blue_team_-_2015.10.29.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #20 | OWASP Stammtisch Frankfurt | 24.09.2015, 19:30h ====<br />
Vortrag: Jan Philipp | „Security Challenges of Cloud Providers“ („Wie baue ich sichere Luftschlösser in den Wolken”) ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Cloud_Provider_Challenges_-_2015.09.24.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #19 | OWASP Stammtisch Frankfurt | 27.08.2015, 19:30h ====<br />
Vortrag: Manuel Giesel und Johannes Schönborn | „Lust und Frust bei der Netzwerk-Anomalieerkennung<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #18 | OWASP Stammtisch Frankfurt | 30.07.2015, 19:30h ====<br />
Vortrag: Katharine Brylski | Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_BestOfKonzept_Sicherheitsanalysen_Webanwendungen_20150730.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #17 | OWASP Stammtisch Frankfurt | 25.06.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | (Un)Sicherheit bei ihrer Applikation? Präventiv statt reaktiv ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_%28Un%29Sicherheit.bei.ihrer.Applikation_20150628.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #16 | OWASP Stammtisch Frankfurt | 28.05.2015, 19:30h ====<br />
Vortrag: Marius Klimmek | Sowas wie Botnetze – Die dunkle Gefahr der Zombie Armee ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Botnetze-Presentation_20150525.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #15 | OWASP Stammtisch Frankfurt | 30.04.2015, 19:30h ====<br />
Vortrag: Daniel Zelle | Einführung und Überblick - Von Car2X- bis In-Vehicel-Security ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Von_Car2X-_bis_In-Vehicle-Security_20150430.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #14 | OWASP Stammtisch Frankfurt | 26.03.2015, 19:30h ====<br />
Vortrag: Michael Ritter | Web Application Firewall Profiling ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_WAF_Profiling_and_Evasion.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #13 | OWASP Stammtisch Frankfurt | 26.02.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | Polyglotte Angriffsvektoren<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #12 | OWASP Stammtisch Frankfurt | 29.01.2015, 19:30h ====<br />
Vortrag: Jan Philipp | SharePoint Sicherheit im 'schlüpfrigen' Griff ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-SharePoint.Sicherheit.im.Griff-20150129.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #11 | OWASP Stammtisch Frankfurt | 27.11.2014, 19:30h ====<br />
Vortrag: Johannes Schönborn | APT – the Good – the Bad, the Ugly<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #10 | OWASP Stammtisch Frankfurt | 30.10.2014, 19:30h ====<br />
Der OWASP Stammtisch Frankfurt feierte sein Comeback!<br> <br />
Vortrag: Alexander Klink | Denial of Service auf Applikationsebene ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-DoS.auf.Applikationsebene-20141030.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== 3. Rhein-Main-OWASP-Stammtisch findet am 27.11.2013 , 19:00 statt ====<br />
Der dritte Rhein-Main-OWASP Stammtisch findet am 27.11.2013 um 19:00 in der Weinbar [http://www.vinothek-wangenrot.de/weinbar-vinothek-mainz.html Wangenrot] am Stephansplatz 1 in Mainz statt.<br />
<br />
==== 2. Rhein-Main-OWASP-Stammtisch findet am 26.09.2013, 18:30 statt ====<br />
Der zweite Rhein Main Stammtisch findet am 26.09.2013 ab 19:00 in Frankfurt im [http://www.ristorante-vitavera.de/1.html Vita Vera] statt.<br />
Bitte meldet euch per Email bei markus.miedaner@owasp.org damit wir genügend Sitzplätze haben.<br />
<br />
==== 1. Rhein-Main-OWASP-Stammtisch findet am 25.06.2013, 18:30 statt ====<br />
Der Frankfurter OWASP Stammtisch heißt nun Rhein Main Stammtisch. Der erste Rhein-Main Stammtisch fand am 25.06.2013 in Frankfurt statt.<br />
<br />
===== Der 6. Frankfurter OWASP Stammtisch fand am 21.11.2012 statt =====<br />
<br />
Thema des Stammtisches ist der Rückblick auf den German OWASP Day 2012.<br />
<br />
===== Der 5. Frankfurter OWASP Stammtisch findet am 26.09.2012, 18:30 statt =====<br />
<br />
ACHTUNG: Der 5. OWASP Stammtisch Frankfurt wird im [http://www.ristorante-vitavera.de/1.html Vita Vera] in der [https://maps.google.de/maps?oe=utf-8&ie=UTF-8&q=vita+vera+frankfurt&fb=1&gl=de&hq=vita+vera&hnear=0x47bd096f477096c5:0x422435029b0c600,Frankfurt&cid=0,0,6042038627906823373&ei=mnhXUMP9Nu324QTK24GYCQ&ved=0CJEBEPwSMAM Windmühlenstr. 14, 60329 Frankfurt am Main] stattfinden. Wir suchen eigentlich ein Lokal in dem man auch einmal einen Vortrag halten kann mit anschließender Diskussion. Das haben wir noch nicht gefunden. Bevor deshalb der Stammtisch nie stattfindet, wollen wir ihn zumindest zum Austausch über Securitythemen und Netzwerken stattfinden lassen. Das Lokal liegt in unmittelbarer Bahnhofsnähe, Parkgelegenheiten sind auch vorhanden.<br />
<br />
===== Der 4. Frankfurter OWASP Stammtisch findet am 23.11.2011 statt =====<br />
<br />
ACHTUNG: Der 4. OWASP Stammtisch Frankfurt wird im [http://www.depot1899.de/ Depot 1899] in der [http://j.mp/uHFH9X Textorstraße 33, 60594 Frankfurt am Main] stattfinden. Wir testen gerade Lokale aus in denen man vielleicht auch einmal einen Vortrag halten kann mit anschließender Diskussion.<br />
<br />
===== Der 3. Frankfurter OWASP Stammtisch findet am 21.09.2011 statt =====<br />
<br />
Der 3. OWASP Stammtisch Frankfurt wird wieder in der [http://j.mp/piQdaP Arche Nova, Kasseler Str. 1a, Frankfurt a.M.] stattfinden.</div>Alexioshttps://wiki.owasp.org/index.php?title=OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt&diff=211862OWASP German Chapter Stammtisch Initiative/Frankfurt2016-03-27T14:22:50Z<p>Alexios: /* #25 | OWASP Stammtisch Frankfurt | 31.03.2016, 19:30h */</p>
<hr />
<div>[[Category:Germany]] [[Category:Stammtisch]]<br />
<br />
== Orientierung ==<br />
<br />
=== Wann === <br />
Immer am letzten Donnerstag im Monat, um 19:30 Uhr<br />
<br />
=== Wo === <br />
Bei einem Gastgeber in Frankfurt, u.U. auch im Rhein-Main-Gebiet. Details findest du unter [[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt#Aktuelles|Aktuelles]]<br />
<br />
=== Ablauf === <br />
Vortrag bei einem Gastgeber mit Erfahrungsaustausch und einem geselligen Ausklang in der Nachbarschaft (optional)<br />
<br />
=== Etiquette === <br />
<br />
Wie bei OWASP üblich: Bitte kein Marketing!!! Wir respektieren die OWASP [https://www.owasp.org/index.php?title=Speaker_Agreement | Speaker Agreement] Regeln.<br />
<br />
=== Organisation === <br />
<br />
Wer Interesse hat beim Stammtisch mitzuwirken oder ihn mitzugestalten, bitte bei Alexios melden (alexios punkt fakos aet owasp puhunkt org). Danke!<br />
<br />
Vorträge wie Gastgeber sind jederzeit willkommen. <br />
Die Treffen werden über die [https://lists.owasp.org/mailman/listinfo/owasp-germany/ OWASP Deutschland Mailing-Liste], [https://lists.owasp.org/mailman/listinfo/owasp-frankfurt OWASP Stammtisch Frankfurt Mailing-Liste], [https://twitter.com/owasp_f Twitter], XING [https://www.xing.com/communities/groups/owasp-stammtisch-frankfurt-21f9-1075280 OWASP Stammtisch Frankfurt] und über die Meetup Gruppe [http://www.meetup.com/de/IT-Security-Stammtisch-Frankfurt-OWASP-u-w/ Meetup] angekündigt.<br />
<br />
<br />
<br />
[https://www.owasp.org/images/5/5d/PPT_2013_Toolbox.zip Präsentationsvorlage] und [https://www.owasp.org/images/7/76/OWASP_Presentation_Template.zip Alternative]<br />
<br />
=== Weiteres === <br />
<br />
Über OWASP Germany im Allgemeinen und den Stammtisch Frankfurt <br />
([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_spread_the_word_v1.0.pdf|DOWNLOAD]])<br />
<br />
== Aktuelles ==<br />
==== #25 | OWASP Stammtisch Frankfurt | 31.03.2016, 19:30h ====<br />
Wir laden euch herzlich ein:<br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.2em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:0px;cursor:default;border-color: #8ed9f6;"><br />
'''31.03.2016, 19:30h''' im <br />
</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.1em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:10px;cursor:default;border-color: #8ed9f6;"><br />
Westend Tower (DZ BANK AG), Mainzer Landstraße 58, 60325 Frankfurt am Main [Eingang bei der Skulptur „fliegende Krawatte“, Anfahrtsbeschreibung: Eingang Westend 1]</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.0em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:20px;cursor:default;border-color: #8ed9f6;"><br />
([https://www.dzbank.de/content/dam/dzbank_de/de/home/profil/dzbankag/pdf_dokumente/Adressen-und-Standorte/Anfahrt_Frankfurt.pdf Anfahrtsbeschreibung], [https://goo.gl/maps/YfEvzRCD4pS2 Google Maps], [http://her.is/1Rmtunn HERE Maps])<br />
</code><br />
<br />
<br />
Vortrag von Manuel Giesel und Johannes Schönborn mit dem Titel: „1x1 der Threat Intelligence”.<br />
<br />
Zwecks Planung bitte ich dich, sowie Neugierige und Interessierte, euch<br />
vorab per [http://doodle.com/ez7k3x4uqav4h2ef Doodle anzumelden]. Danke!<br />
<br />
<br />
Für den Konferenzraum ist eine Zutrittsberechtigung erforderlich. Wir freuen uns sehr, wenn du dich kurz vor 19:30 Uhr im Foyer einfindest, damit wir gemeinsam zum Konferenzraum gehen können. Solltest du ein wenig später ankommen, so frage bei der Rezeption nach dem OWASP Stammtisch. Wir holen dich dann ab.<br />
<br />
== Bisherige Stammtische / Treffen ==<br />
<br />
==== #24 | OWASP Stammtisch Frankfurt | 25.02.2016, 19:30h ====<br />
Vortrag: Boban Krsic | „IT-Sicherheitsgesetz - und nun?“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #23 | OWASP Stammtisch Frankfurt | 28.01.2015, 19:30h ====<br />
Vortrag: Christoph | „Social Engineering“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt-Social_Engineering-2016.01.28.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #22 | OWASP Stammtisch Frankfurt | 26.11.2015, 19:30h ====<br />
Vortrag: Johannes Schönborn | „Faraday: Pentesting goes Multiplayer“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #21 | OWASP Stammtisch Frankfurt | 29.10.2015, 19:30h ====<br />
Vortrag: Khalil Bijjou | „Web Application Firewall Bypassing - how to defeat the blue team“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Web_Application_Firewall_Bypassing_-_how_to_defeat_the_blue_team_-_2015.10.29.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #20 | OWASP Stammtisch Frankfurt | 24.09.2015, 19:30h ====<br />
Vortrag: Jan Philipp | „Security Challenges of Cloud Providers“ („Wie baue ich sichere Luftschlösser in den Wolken”) ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Cloud_Provider_Challenges_-_2015.09.24.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #19 | OWASP Stammtisch Frankfurt | 27.08.2015, 19:30h ====<br />
Vortrag: Manuel Giesel und Johannes Schönborn | „Lust und Frust bei der Netzwerk-Anomalieerkennung<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #18 | OWASP Stammtisch Frankfurt | 30.07.2015, 19:30h ====<br />
Vortrag: Katharine Brylski | Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_BestOfKonzept_Sicherheitsanalysen_Webanwendungen_20150730.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #17 | OWASP Stammtisch Frankfurt | 25.06.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | (Un)Sicherheit bei ihrer Applikation? Präventiv statt reaktiv ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_%28Un%29Sicherheit.bei.ihrer.Applikation_20150628.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #16 | OWASP Stammtisch Frankfurt | 28.05.2015, 19:30h ====<br />
Vortrag: Marius Klimmek | Sowas wie Botnetze – Die dunkle Gefahr der Zombie Armee ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Botnetze-Presentation_20150525.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #15 | OWASP Stammtisch Frankfurt | 30.04.2015, 19:30h ====<br />
Vortrag: Daniel Zelle | Einführung und Überblick - Von Car2X- bis In-Vehicel-Security ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Von_Car2X-_bis_In-Vehicle-Security_20150430.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #14 | OWASP Stammtisch Frankfurt | 26.03.2015, 19:30h ====<br />
Vortrag: Michael Ritter | Web Application Firewall Profiling ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_WAF_Profiling_and_Evasion.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #13 | OWASP Stammtisch Frankfurt | 26.02.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | Polyglotte Angriffsvektoren<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #12 | OWASP Stammtisch Frankfurt | 29.01.2015, 19:30h ====<br />
Vortrag: Jan Philipp | SharePoint Sicherheit im 'schlüpfrigen' Griff ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-SharePoint.Sicherheit.im.Griff-20150129.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #11 | OWASP Stammtisch Frankfurt | 27.11.2014, 19:30h ====<br />
Vortrag: Johannes Schönborn | APT – the Good – the Bad, the Ugly<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #10 | OWASP Stammtisch Frankfurt | 30.10.2014, 19:30h ====<br />
Der OWASP Stammtisch Frankfurt feierte sein Comeback!<br> <br />
Vortrag: Alexander Klink | Denial of Service auf Applikationsebene ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-DoS.auf.Applikationsebene-20141030.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== 3. Rhein-Main-OWASP-Stammtisch findet am 27.11.2013 , 19:00 statt ====<br />
Der dritte Rhein-Main-OWASP Stammtisch findet am 27.11.2013 um 19:00 in der Weinbar [http://www.vinothek-wangenrot.de/weinbar-vinothek-mainz.html Wangenrot] am Stephansplatz 1 in Mainz statt.<br />
<br />
==== 2. Rhein-Main-OWASP-Stammtisch findet am 26.09.2013, 18:30 statt ====<br />
Der zweite Rhein Main Stammtisch findet am 26.09.2013 ab 19:00 in Frankfurt im [http://www.ristorante-vitavera.de/1.html Vita Vera] statt.<br />
Bitte meldet euch per Email bei markus.miedaner@owasp.org damit wir genügend Sitzplätze haben.<br />
<br />
==== 1. Rhein-Main-OWASP-Stammtisch findet am 25.06.2013, 18:30 statt ====<br />
Der Frankfurter OWASP Stammtisch heißt nun Rhein Main Stammtisch. Der erste Rhein-Main Stammtisch fand am 25.06.2013 in Frankfurt statt.<br />
<br />
===== Der 6. Frankfurter OWASP Stammtisch fand am 21.11.2012 statt =====<br />
<br />
Thema des Stammtisches ist der Rückblick auf den German OWASP Day 2012.<br />
<br />
===== Der 5. Frankfurter OWASP Stammtisch findet am 26.09.2012, 18:30 statt =====<br />
<br />
ACHTUNG: Der 5. OWASP Stammtisch Frankfurt wird im [http://www.ristorante-vitavera.de/1.html Vita Vera] in der [https://maps.google.de/maps?oe=utf-8&ie=UTF-8&q=vita+vera+frankfurt&fb=1&gl=de&hq=vita+vera&hnear=0x47bd096f477096c5:0x422435029b0c600,Frankfurt&cid=0,0,6042038627906823373&ei=mnhXUMP9Nu324QTK24GYCQ&ved=0CJEBEPwSMAM Windmühlenstr. 14, 60329 Frankfurt am Main] stattfinden. Wir suchen eigentlich ein Lokal in dem man auch einmal einen Vortrag halten kann mit anschließender Diskussion. Das haben wir noch nicht gefunden. Bevor deshalb der Stammtisch nie stattfindet, wollen wir ihn zumindest zum Austausch über Securitythemen und Netzwerken stattfinden lassen. Das Lokal liegt in unmittelbarer Bahnhofsnähe, Parkgelegenheiten sind auch vorhanden.<br />
<br />
===== Der 4. Frankfurter OWASP Stammtisch findet am 23.11.2011 statt =====<br />
<br />
ACHTUNG: Der 4. OWASP Stammtisch Frankfurt wird im [http://www.depot1899.de/ Depot 1899] in der [http://j.mp/uHFH9X Textorstraße 33, 60594 Frankfurt am Main] stattfinden. Wir testen gerade Lokale aus in denen man vielleicht auch einmal einen Vortrag halten kann mit anschließender Diskussion.<br />
<br />
===== Der 3. Frankfurter OWASP Stammtisch findet am 21.09.2011 statt =====<br />
<br />
Der 3. OWASP Stammtisch Frankfurt wird wieder in der [http://j.mp/piQdaP Arche Nova, Kasseler Str. 1a, Frankfurt a.M.] stattfinden.</div>Alexioshttps://wiki.owasp.org/index.php?title=OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt&diff=211861OWASP German Chapter Stammtisch Initiative/Frankfurt2016-03-27T14:22:05Z<p>Alexios: /* #25 | OWASP Stammtisch Frankfurt | 31.03.2016, 19:30h */</p>
<hr />
<div>[[Category:Germany]] [[Category:Stammtisch]]<br />
<br />
== Orientierung ==<br />
<br />
=== Wann === <br />
Immer am letzten Donnerstag im Monat, um 19:30 Uhr<br />
<br />
=== Wo === <br />
Bei einem Gastgeber in Frankfurt, u.U. auch im Rhein-Main-Gebiet. Details findest du unter [[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt#Aktuelles|Aktuelles]]<br />
<br />
=== Ablauf === <br />
Vortrag bei einem Gastgeber mit Erfahrungsaustausch und einem geselligen Ausklang in der Nachbarschaft (optional)<br />
<br />
=== Etiquette === <br />
<br />
Wie bei OWASP üblich: Bitte kein Marketing!!! Wir respektieren die OWASP [https://www.owasp.org/index.php?title=Speaker_Agreement | Speaker Agreement] Regeln.<br />
<br />
=== Organisation === <br />
<br />
Wer Interesse hat beim Stammtisch mitzuwirken oder ihn mitzugestalten, bitte bei Alexios melden (alexios punkt fakos aet owasp puhunkt org). Danke!<br />
<br />
Vorträge wie Gastgeber sind jederzeit willkommen. <br />
Die Treffen werden über die [https://lists.owasp.org/mailman/listinfo/owasp-germany/ OWASP Deutschland Mailing-Liste], [https://lists.owasp.org/mailman/listinfo/owasp-frankfurt OWASP Stammtisch Frankfurt Mailing-Liste], [https://twitter.com/owasp_f Twitter], XING [https://www.xing.com/communities/groups/owasp-stammtisch-frankfurt-21f9-1075280 OWASP Stammtisch Frankfurt] und über die Meetup Gruppe [http://www.meetup.com/de/IT-Security-Stammtisch-Frankfurt-OWASP-u-w/ Meetup] angekündigt.<br />
<br />
<br />
<br />
[https://www.owasp.org/images/5/5d/PPT_2013_Toolbox.zip Präsentationsvorlage] und [https://www.owasp.org/images/7/76/OWASP_Presentation_Template.zip Alternative]<br />
<br />
=== Weiteres === <br />
<br />
Über OWASP Germany im Allgemeinen und den Stammtisch Frankfurt <br />
([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_spread_the_word_v1.0.pdf|DOWNLOAD]])<br />
<br />
== Aktuelles ==<br />
==== #25 | OWASP Stammtisch Frankfurt | 31.03.2016, 19:30h ====<br />
Wir laden euch herzlich ein:<br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.2em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:0px;cursor:default;border-color: #8ed9f6;"><br />
'''31.03.2016, 19:30h''' im <br />
</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.1em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:10px;cursor:default;border-color: #8ed9f6;"><br />
Westend Tower (DZ BANK AG), Mainzer Landstraße 58, 60325 Frankfurt am Main [Eingang bei der Skulptur „fliegende Krawatte“, Anfahrtsbeschreibung: Eingang Westend 1]</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.0em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:20px;cursor:default;border-color: #8ed9f6;"><br />
([https://www.dzbank.de/content/dam/dzbank_de/de/home/profil/dzbankag/pdf_dokumente/Adressen-und-Standorte/Anfahrt_Frankfurt.pdf Anfahrtsbeschreibung], [https://goo.gl/maps/o2vk4pD4nZ32 Google Maps], [http://her.is/1Rmtunn HERE Maps])<br />
</code><br />
<br />
<br />
Vortrag von Manuel Giesel und Johannes Schönborn mit dem Titel: „1x1 der Threat Intelligence”.<br />
<br />
Zwecks Planung bitte ich dich, sowie Neugierige und Interessierte, euch<br />
vorab per [http://doodle.com/ez7k3x4uqav4h2ef Doodle anzumelden]. Danke!<br />
<br />
<br />
Für den Konferenzraum ist eine Zutrittsberechtigung erforderlich. Wir freuen uns sehr, wenn du dich kurz vor 19:30 Uhr im Foyer einfindest, damit wir gemeinsam zum Konferenzraum gehen können. Solltest du ein wenig später ankommen, so frage bei der Rezeption nach dem OWASP Stammtisch. Wir holen dich dann ab.<br />
<br />
== Bisherige Stammtische / Treffen ==<br />
<br />
==== #24 | OWASP Stammtisch Frankfurt | 25.02.2016, 19:30h ====<br />
Vortrag: Boban Krsic | „IT-Sicherheitsgesetz - und nun?“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #23 | OWASP Stammtisch Frankfurt | 28.01.2015, 19:30h ====<br />
Vortrag: Christoph | „Social Engineering“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt-Social_Engineering-2016.01.28.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #22 | OWASP Stammtisch Frankfurt | 26.11.2015, 19:30h ====<br />
Vortrag: Johannes Schönborn | „Faraday: Pentesting goes Multiplayer“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #21 | OWASP Stammtisch Frankfurt | 29.10.2015, 19:30h ====<br />
Vortrag: Khalil Bijjou | „Web Application Firewall Bypassing - how to defeat the blue team“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Web_Application_Firewall_Bypassing_-_how_to_defeat_the_blue_team_-_2015.10.29.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #20 | OWASP Stammtisch Frankfurt | 24.09.2015, 19:30h ====<br />
Vortrag: Jan Philipp | „Security Challenges of Cloud Providers“ („Wie baue ich sichere Luftschlösser in den Wolken”) ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Cloud_Provider_Challenges_-_2015.09.24.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #19 | OWASP Stammtisch Frankfurt | 27.08.2015, 19:30h ====<br />
Vortrag: Manuel Giesel und Johannes Schönborn | „Lust und Frust bei der Netzwerk-Anomalieerkennung<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #18 | OWASP Stammtisch Frankfurt | 30.07.2015, 19:30h ====<br />
Vortrag: Katharine Brylski | Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_BestOfKonzept_Sicherheitsanalysen_Webanwendungen_20150730.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #17 | OWASP Stammtisch Frankfurt | 25.06.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | (Un)Sicherheit bei ihrer Applikation? Präventiv statt reaktiv ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_%28Un%29Sicherheit.bei.ihrer.Applikation_20150628.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #16 | OWASP Stammtisch Frankfurt | 28.05.2015, 19:30h ====<br />
Vortrag: Marius Klimmek | Sowas wie Botnetze – Die dunkle Gefahr der Zombie Armee ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Botnetze-Presentation_20150525.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #15 | OWASP Stammtisch Frankfurt | 30.04.2015, 19:30h ====<br />
Vortrag: Daniel Zelle | Einführung und Überblick - Von Car2X- bis In-Vehicel-Security ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Von_Car2X-_bis_In-Vehicle-Security_20150430.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #14 | OWASP Stammtisch Frankfurt | 26.03.2015, 19:30h ====<br />
Vortrag: Michael Ritter | Web Application Firewall Profiling ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_WAF_Profiling_and_Evasion.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #13 | OWASP Stammtisch Frankfurt | 26.02.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | Polyglotte Angriffsvektoren<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #12 | OWASP Stammtisch Frankfurt | 29.01.2015, 19:30h ====<br />
Vortrag: Jan Philipp | SharePoint Sicherheit im 'schlüpfrigen' Griff ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-SharePoint.Sicherheit.im.Griff-20150129.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #11 | OWASP Stammtisch Frankfurt | 27.11.2014, 19:30h ====<br />
Vortrag: Johannes Schönborn | APT – the Good – the Bad, the Ugly<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #10 | OWASP Stammtisch Frankfurt | 30.10.2014, 19:30h ====<br />
Der OWASP Stammtisch Frankfurt feierte sein Comeback!<br> <br />
Vortrag: Alexander Klink | Denial of Service auf Applikationsebene ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-DoS.auf.Applikationsebene-20141030.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== 3. Rhein-Main-OWASP-Stammtisch findet am 27.11.2013 , 19:00 statt ====<br />
Der dritte Rhein-Main-OWASP Stammtisch findet am 27.11.2013 um 19:00 in der Weinbar [http://www.vinothek-wangenrot.de/weinbar-vinothek-mainz.html Wangenrot] am Stephansplatz 1 in Mainz statt.<br />
<br />
==== 2. Rhein-Main-OWASP-Stammtisch findet am 26.09.2013, 18:30 statt ====<br />
Der zweite Rhein Main Stammtisch findet am 26.09.2013 ab 19:00 in Frankfurt im [http://www.ristorante-vitavera.de/1.html Vita Vera] statt.<br />
Bitte meldet euch per Email bei markus.miedaner@owasp.org damit wir genügend Sitzplätze haben.<br />
<br />
==== 1. Rhein-Main-OWASP-Stammtisch findet am 25.06.2013, 18:30 statt ====<br />
Der Frankfurter OWASP Stammtisch heißt nun Rhein Main Stammtisch. Der erste Rhein-Main Stammtisch fand am 25.06.2013 in Frankfurt statt.<br />
<br />
===== Der 6. Frankfurter OWASP Stammtisch fand am 21.11.2012 statt =====<br />
<br />
Thema des Stammtisches ist der Rückblick auf den German OWASP Day 2012.<br />
<br />
===== Der 5. Frankfurter OWASP Stammtisch findet am 26.09.2012, 18:30 statt =====<br />
<br />
ACHTUNG: Der 5. OWASP Stammtisch Frankfurt wird im [http://www.ristorante-vitavera.de/1.html Vita Vera] in der [https://maps.google.de/maps?oe=utf-8&ie=UTF-8&q=vita+vera+frankfurt&fb=1&gl=de&hq=vita+vera&hnear=0x47bd096f477096c5:0x422435029b0c600,Frankfurt&cid=0,0,6042038627906823373&ei=mnhXUMP9Nu324QTK24GYCQ&ved=0CJEBEPwSMAM Windmühlenstr. 14, 60329 Frankfurt am Main] stattfinden. Wir suchen eigentlich ein Lokal in dem man auch einmal einen Vortrag halten kann mit anschließender Diskussion. Das haben wir noch nicht gefunden. Bevor deshalb der Stammtisch nie stattfindet, wollen wir ihn zumindest zum Austausch über Securitythemen und Netzwerken stattfinden lassen. Das Lokal liegt in unmittelbarer Bahnhofsnähe, Parkgelegenheiten sind auch vorhanden.<br />
<br />
===== Der 4. Frankfurter OWASP Stammtisch findet am 23.11.2011 statt =====<br />
<br />
ACHTUNG: Der 4. OWASP Stammtisch Frankfurt wird im [http://www.depot1899.de/ Depot 1899] in der [http://j.mp/uHFH9X Textorstraße 33, 60594 Frankfurt am Main] stattfinden. Wir testen gerade Lokale aus in denen man vielleicht auch einmal einen Vortrag halten kann mit anschließender Diskussion.<br />
<br />
===== Der 3. Frankfurter OWASP Stammtisch findet am 21.09.2011 statt =====<br />
<br />
Der 3. OWASP Stammtisch Frankfurt wird wieder in der [http://j.mp/piQdaP Arche Nova, Kasseler Str. 1a, Frankfurt a.M.] stattfinden.</div>Alexioshttps://wiki.owasp.org/index.php?title=OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt&diff=211860OWASP German Chapter Stammtisch Initiative/Frankfurt2016-03-27T14:12:19Z<p>Alexios: /* #25 | OWASP Stammtisch Frankfurt | 31.03.2016, 19:30h */</p>
<hr />
<div>[[Category:Germany]] [[Category:Stammtisch]]<br />
<br />
== Orientierung ==<br />
<br />
=== Wann === <br />
Immer am letzten Donnerstag im Monat, um 19:30 Uhr<br />
<br />
=== Wo === <br />
Bei einem Gastgeber in Frankfurt, u.U. auch im Rhein-Main-Gebiet. Details findest du unter [[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt#Aktuelles|Aktuelles]]<br />
<br />
=== Ablauf === <br />
Vortrag bei einem Gastgeber mit Erfahrungsaustausch und einem geselligen Ausklang in der Nachbarschaft (optional)<br />
<br />
=== Etiquette === <br />
<br />
Wie bei OWASP üblich: Bitte kein Marketing!!! Wir respektieren die OWASP [https://www.owasp.org/index.php?title=Speaker_Agreement | Speaker Agreement] Regeln.<br />
<br />
=== Organisation === <br />
<br />
Wer Interesse hat beim Stammtisch mitzuwirken oder ihn mitzugestalten, bitte bei Alexios melden (alexios punkt fakos aet owasp puhunkt org). Danke!<br />
<br />
Vorträge wie Gastgeber sind jederzeit willkommen. <br />
Die Treffen werden über die [https://lists.owasp.org/mailman/listinfo/owasp-germany/ OWASP Deutschland Mailing-Liste], [https://lists.owasp.org/mailman/listinfo/owasp-frankfurt OWASP Stammtisch Frankfurt Mailing-Liste], [https://twitter.com/owasp_f Twitter], XING [https://www.xing.com/communities/groups/owasp-stammtisch-frankfurt-21f9-1075280 OWASP Stammtisch Frankfurt] und über die Meetup Gruppe [http://www.meetup.com/de/IT-Security-Stammtisch-Frankfurt-OWASP-u-w/ Meetup] angekündigt.<br />
<br />
<br />
<br />
[https://www.owasp.org/images/5/5d/PPT_2013_Toolbox.zip Präsentationsvorlage] und [https://www.owasp.org/images/7/76/OWASP_Presentation_Template.zip Alternative]<br />
<br />
=== Weiteres === <br />
<br />
Über OWASP Germany im Allgemeinen und den Stammtisch Frankfurt <br />
([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_spread_the_word_v1.0.pdf|DOWNLOAD]])<br />
<br />
== Aktuelles ==<br />
==== #25 | OWASP Stammtisch Frankfurt | 31.03.2016, 19:30h ====<br />
Wir laden euch herzlich ein:<br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.2em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:0px;cursor:default;border-color: #8ed9f6;"><br />
'''31.03.2016, 19:30h''' im <br />
</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.1em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:10px;cursor:default;border-color: #8ed9f6;"><br />
DZ BANK AG, Platz der Republik, 60265 Frankfurt am Main [Eingang bei der Skulptur „fliegende Krawatte“]</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.0em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:20px;cursor:default;border-color: #8ed9f6;"><br />
([https://www.dzbank.de/content/dam/dzbank_de/de/home/profil/dzbankag/pdf_dokumente/Adressen-und-Standorte/Anfahrt_Frankfurt.pdf Anfahrtsbeschreibung], [https://goo.gl/maps/o2vk4pD4nZ32 Google Maps], [http://her.is/1SeJEeZ HERE Maps])<br />
</code><br />
<br />
<br />
Vortrag von Manuel Giesel und Johannes Schönborn mit dem Titel: „1x1 der Threat Intelligence”.<br />
<br />
Zwecks Planung bitte ich dich, sowie Neugierige und Interessierte, euch<br />
vorab per [http://doodle.com/ez7k3x4uqav4h2ef Doodle anzumelden]. Danke!<br />
<br />
<br />
Für den Konferenzraum ist eine Zutrittsberechtigung erforderlich. Wir freuen uns sehr, wenn du dich kurz vor 19:30 Uhr im Foyer einfindest, damit wir gemeinsam zum Konferenzraum gehen können. Solltest du ein wenig später ankommen, so frage bei der Rezeption nach dem OWASP Stammtisch. Wir holen dich dann ab.<br />
<br />
== Bisherige Stammtische / Treffen ==<br />
<br />
==== #24 | OWASP Stammtisch Frankfurt | 25.02.2016, 19:30h ====<br />
Vortrag: Boban Krsic | „IT-Sicherheitsgesetz - und nun?“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #23 | OWASP Stammtisch Frankfurt | 28.01.2015, 19:30h ====<br />
Vortrag: Christoph | „Social Engineering“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt-Social_Engineering-2016.01.28.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #22 | OWASP Stammtisch Frankfurt | 26.11.2015, 19:30h ====<br />
Vortrag: Johannes Schönborn | „Faraday: Pentesting goes Multiplayer“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #21 | OWASP Stammtisch Frankfurt | 29.10.2015, 19:30h ====<br />
Vortrag: Khalil Bijjou | „Web Application Firewall Bypassing - how to defeat the blue team“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Web_Application_Firewall_Bypassing_-_how_to_defeat_the_blue_team_-_2015.10.29.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #20 | OWASP Stammtisch Frankfurt | 24.09.2015, 19:30h ====<br />
Vortrag: Jan Philipp | „Security Challenges of Cloud Providers“ („Wie baue ich sichere Luftschlösser in den Wolken”) ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Cloud_Provider_Challenges_-_2015.09.24.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #19 | OWASP Stammtisch Frankfurt | 27.08.2015, 19:30h ====<br />
Vortrag: Manuel Giesel und Johannes Schönborn | „Lust und Frust bei der Netzwerk-Anomalieerkennung<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #18 | OWASP Stammtisch Frankfurt | 30.07.2015, 19:30h ====<br />
Vortrag: Katharine Brylski | Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_BestOfKonzept_Sicherheitsanalysen_Webanwendungen_20150730.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #17 | OWASP Stammtisch Frankfurt | 25.06.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | (Un)Sicherheit bei ihrer Applikation? Präventiv statt reaktiv ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_%28Un%29Sicherheit.bei.ihrer.Applikation_20150628.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #16 | OWASP Stammtisch Frankfurt | 28.05.2015, 19:30h ====<br />
Vortrag: Marius Klimmek | Sowas wie Botnetze – Die dunkle Gefahr der Zombie Armee ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Botnetze-Presentation_20150525.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #15 | OWASP Stammtisch Frankfurt | 30.04.2015, 19:30h ====<br />
Vortrag: Daniel Zelle | Einführung und Überblick - Von Car2X- bis In-Vehicel-Security ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Von_Car2X-_bis_In-Vehicle-Security_20150430.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #14 | OWASP Stammtisch Frankfurt | 26.03.2015, 19:30h ====<br />
Vortrag: Michael Ritter | Web Application Firewall Profiling ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_WAF_Profiling_and_Evasion.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #13 | OWASP Stammtisch Frankfurt | 26.02.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | Polyglotte Angriffsvektoren<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #12 | OWASP Stammtisch Frankfurt | 29.01.2015, 19:30h ====<br />
Vortrag: Jan Philipp | SharePoint Sicherheit im 'schlüpfrigen' Griff ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-SharePoint.Sicherheit.im.Griff-20150129.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #11 | OWASP Stammtisch Frankfurt | 27.11.2014, 19:30h ====<br />
Vortrag: Johannes Schönborn | APT – the Good – the Bad, the Ugly<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #10 | OWASP Stammtisch Frankfurt | 30.10.2014, 19:30h ====<br />
Der OWASP Stammtisch Frankfurt feierte sein Comeback!<br> <br />
Vortrag: Alexander Klink | Denial of Service auf Applikationsebene ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-DoS.auf.Applikationsebene-20141030.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== 3. Rhein-Main-OWASP-Stammtisch findet am 27.11.2013 , 19:00 statt ====<br />
Der dritte Rhein-Main-OWASP Stammtisch findet am 27.11.2013 um 19:00 in der Weinbar [http://www.vinothek-wangenrot.de/weinbar-vinothek-mainz.html Wangenrot] am Stephansplatz 1 in Mainz statt.<br />
<br />
==== 2. Rhein-Main-OWASP-Stammtisch findet am 26.09.2013, 18:30 statt ====<br />
Der zweite Rhein Main Stammtisch findet am 26.09.2013 ab 19:00 in Frankfurt im [http://www.ristorante-vitavera.de/1.html Vita Vera] statt.<br />
Bitte meldet euch per Email bei markus.miedaner@owasp.org damit wir genügend Sitzplätze haben.<br />
<br />
==== 1. Rhein-Main-OWASP-Stammtisch findet am 25.06.2013, 18:30 statt ====<br />
Der Frankfurter OWASP Stammtisch heißt nun Rhein Main Stammtisch. Der erste Rhein-Main Stammtisch fand am 25.06.2013 in Frankfurt statt.<br />
<br />
===== Der 6. Frankfurter OWASP Stammtisch fand am 21.11.2012 statt =====<br />
<br />
Thema des Stammtisches ist der Rückblick auf den German OWASP Day 2012.<br />
<br />
===== Der 5. Frankfurter OWASP Stammtisch findet am 26.09.2012, 18:30 statt =====<br />
<br />
ACHTUNG: Der 5. OWASP Stammtisch Frankfurt wird im [http://www.ristorante-vitavera.de/1.html Vita Vera] in der [https://maps.google.de/maps?oe=utf-8&ie=UTF-8&q=vita+vera+frankfurt&fb=1&gl=de&hq=vita+vera&hnear=0x47bd096f477096c5:0x422435029b0c600,Frankfurt&cid=0,0,6042038627906823373&ei=mnhXUMP9Nu324QTK24GYCQ&ved=0CJEBEPwSMAM Windmühlenstr. 14, 60329 Frankfurt am Main] stattfinden. Wir suchen eigentlich ein Lokal in dem man auch einmal einen Vortrag halten kann mit anschließender Diskussion. Das haben wir noch nicht gefunden. Bevor deshalb der Stammtisch nie stattfindet, wollen wir ihn zumindest zum Austausch über Securitythemen und Netzwerken stattfinden lassen. Das Lokal liegt in unmittelbarer Bahnhofsnähe, Parkgelegenheiten sind auch vorhanden.<br />
<br />
===== Der 4. Frankfurter OWASP Stammtisch findet am 23.11.2011 statt =====<br />
<br />
ACHTUNG: Der 4. OWASP Stammtisch Frankfurt wird im [http://www.depot1899.de/ Depot 1899] in der [http://j.mp/uHFH9X Textorstraße 33, 60594 Frankfurt am Main] stattfinden. Wir testen gerade Lokale aus in denen man vielleicht auch einmal einen Vortrag halten kann mit anschließender Diskussion.<br />
<br />
===== Der 3. Frankfurter OWASP Stammtisch findet am 21.09.2011 statt =====<br />
<br />
Der 3. OWASP Stammtisch Frankfurt wird wieder in der [http://j.mp/piQdaP Arche Nova, Kasseler Str. 1a, Frankfurt a.M.] stattfinden.</div>Alexioshttps://wiki.owasp.org/index.php?title=OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt&diff=211859OWASP German Chapter Stammtisch Initiative/Frankfurt2016-03-27T14:10:31Z<p>Alexios: /* #25 | OWASP Stammtisch Frankfurt | 31.03.2016, 19:30h */</p>
<hr />
<div>[[Category:Germany]] [[Category:Stammtisch]]<br />
<br />
== Orientierung ==<br />
<br />
=== Wann === <br />
Immer am letzten Donnerstag im Monat, um 19:30 Uhr<br />
<br />
=== Wo === <br />
Bei einem Gastgeber in Frankfurt, u.U. auch im Rhein-Main-Gebiet. Details findest du unter [[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt#Aktuelles|Aktuelles]]<br />
<br />
=== Ablauf === <br />
Vortrag bei einem Gastgeber mit Erfahrungsaustausch und einem geselligen Ausklang in der Nachbarschaft (optional)<br />
<br />
=== Etiquette === <br />
<br />
Wie bei OWASP üblich: Bitte kein Marketing!!! Wir respektieren die OWASP [https://www.owasp.org/index.php?title=Speaker_Agreement | Speaker Agreement] Regeln.<br />
<br />
=== Organisation === <br />
<br />
Wer Interesse hat beim Stammtisch mitzuwirken oder ihn mitzugestalten, bitte bei Alexios melden (alexios punkt fakos aet owasp puhunkt org). Danke!<br />
<br />
Vorträge wie Gastgeber sind jederzeit willkommen. <br />
Die Treffen werden über die [https://lists.owasp.org/mailman/listinfo/owasp-germany/ OWASP Deutschland Mailing-Liste], [https://lists.owasp.org/mailman/listinfo/owasp-frankfurt OWASP Stammtisch Frankfurt Mailing-Liste], [https://twitter.com/owasp_f Twitter], XING [https://www.xing.com/communities/groups/owasp-stammtisch-frankfurt-21f9-1075280 OWASP Stammtisch Frankfurt] und über die Meetup Gruppe [http://www.meetup.com/de/IT-Security-Stammtisch-Frankfurt-OWASP-u-w/ Meetup] angekündigt.<br />
<br />
<br />
<br />
[https://www.owasp.org/images/5/5d/PPT_2013_Toolbox.zip Präsentationsvorlage] und [https://www.owasp.org/images/7/76/OWASP_Presentation_Template.zip Alternative]<br />
<br />
=== Weiteres === <br />
<br />
Über OWASP Germany im Allgemeinen und den Stammtisch Frankfurt <br />
([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_spread_the_word_v1.0.pdf|DOWNLOAD]])<br />
<br />
== Aktuelles ==<br />
==== #25 | OWASP Stammtisch Frankfurt | 31.03.2016, 19:30h ====<br />
Wir laden euch herzlich ein:<br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.2em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:0px;cursor:default;border-color: #8ed9f6;"><br />
'''31.03.2016, 19:30h''' im <br />
</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.1em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:10px;cursor:default;border-color: #8ed9f6;"><br />
DZ BANK AG, Platz der Republik, 60265 Frankfurt am Main</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.0em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:20px;cursor:default;border-color: #8ed9f6;"><br />
([https://www.dzbank.de/content/dam/dzbank_de/de/home/profil/dzbankag/pdf_dokumente/Adressen-und-Standorte/Anfahrt_Frankfurt.pdf Anfahrtsbeschreibung], [https://goo.gl/maps/o2vk4pD4nZ32 Google Maps], [http://her.is/1SeJEeZ HERE Maps])<br />
</code><br />
<br />
<br />
Vortrag von Manuel Giesel und Johannes Schönborn mit dem Titel: „1x1 der Threat Intelligence”.<br />
<br />
Zwecks Planung bitte ich dich, sowie Neugierige und Interessierte, euch<br />
vorab per [http://doodle.com/ez7k3x4uqav4h2ef Doodle anzumelden]. Danke!<br />
<br />
<br />
Für den Konferenzraum ist eine Zutrittsberechtigung erforderlich. Wir freuen uns sehr, wenn du dich kurz vor 19:30 Uhr im Foyer einfindest, damit wir gemeinsam zum Konferenzraum gehen können. Solltest du ein wenig später ankommen, so frage bei der Rezeption nach dem OWASP Stammtisch. Wir holen dich dann ab.<br />
<br />
== Bisherige Stammtische / Treffen ==<br />
<br />
==== #24 | OWASP Stammtisch Frankfurt | 25.02.2016, 19:30h ====<br />
Vortrag: Boban Krsic | „IT-Sicherheitsgesetz - und nun?“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #23 | OWASP Stammtisch Frankfurt | 28.01.2015, 19:30h ====<br />
Vortrag: Christoph | „Social Engineering“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt-Social_Engineering-2016.01.28.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #22 | OWASP Stammtisch Frankfurt | 26.11.2015, 19:30h ====<br />
Vortrag: Johannes Schönborn | „Faraday: Pentesting goes Multiplayer“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #21 | OWASP Stammtisch Frankfurt | 29.10.2015, 19:30h ====<br />
Vortrag: Khalil Bijjou | „Web Application Firewall Bypassing - how to defeat the blue team“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Web_Application_Firewall_Bypassing_-_how_to_defeat_the_blue_team_-_2015.10.29.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #20 | OWASP Stammtisch Frankfurt | 24.09.2015, 19:30h ====<br />
Vortrag: Jan Philipp | „Security Challenges of Cloud Providers“ („Wie baue ich sichere Luftschlösser in den Wolken”) ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Cloud_Provider_Challenges_-_2015.09.24.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #19 | OWASP Stammtisch Frankfurt | 27.08.2015, 19:30h ====<br />
Vortrag: Manuel Giesel und Johannes Schönborn | „Lust und Frust bei der Netzwerk-Anomalieerkennung<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #18 | OWASP Stammtisch Frankfurt | 30.07.2015, 19:30h ====<br />
Vortrag: Katharine Brylski | Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_BestOfKonzept_Sicherheitsanalysen_Webanwendungen_20150730.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #17 | OWASP Stammtisch Frankfurt | 25.06.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | (Un)Sicherheit bei ihrer Applikation? Präventiv statt reaktiv ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_%28Un%29Sicherheit.bei.ihrer.Applikation_20150628.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #16 | OWASP Stammtisch Frankfurt | 28.05.2015, 19:30h ====<br />
Vortrag: Marius Klimmek | Sowas wie Botnetze – Die dunkle Gefahr der Zombie Armee ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Botnetze-Presentation_20150525.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #15 | OWASP Stammtisch Frankfurt | 30.04.2015, 19:30h ====<br />
Vortrag: Daniel Zelle | Einführung und Überblick - Von Car2X- bis In-Vehicel-Security ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Von_Car2X-_bis_In-Vehicle-Security_20150430.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #14 | OWASP Stammtisch Frankfurt | 26.03.2015, 19:30h ====<br />
Vortrag: Michael Ritter | Web Application Firewall Profiling ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_WAF_Profiling_and_Evasion.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #13 | OWASP Stammtisch Frankfurt | 26.02.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | Polyglotte Angriffsvektoren<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #12 | OWASP Stammtisch Frankfurt | 29.01.2015, 19:30h ====<br />
Vortrag: Jan Philipp | SharePoint Sicherheit im 'schlüpfrigen' Griff ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-SharePoint.Sicherheit.im.Griff-20150129.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #11 | OWASP Stammtisch Frankfurt | 27.11.2014, 19:30h ====<br />
Vortrag: Johannes Schönborn | APT – the Good – the Bad, the Ugly<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #10 | OWASP Stammtisch Frankfurt | 30.10.2014, 19:30h ====<br />
Der OWASP Stammtisch Frankfurt feierte sein Comeback!<br> <br />
Vortrag: Alexander Klink | Denial of Service auf Applikationsebene ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-DoS.auf.Applikationsebene-20141030.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== 3. Rhein-Main-OWASP-Stammtisch findet am 27.11.2013 , 19:00 statt ====<br />
Der dritte Rhein-Main-OWASP Stammtisch findet am 27.11.2013 um 19:00 in der Weinbar [http://www.vinothek-wangenrot.de/weinbar-vinothek-mainz.html Wangenrot] am Stephansplatz 1 in Mainz statt.<br />
<br />
==== 2. Rhein-Main-OWASP-Stammtisch findet am 26.09.2013, 18:30 statt ====<br />
Der zweite Rhein Main Stammtisch findet am 26.09.2013 ab 19:00 in Frankfurt im [http://www.ristorante-vitavera.de/1.html Vita Vera] statt.<br />
Bitte meldet euch per Email bei markus.miedaner@owasp.org damit wir genügend Sitzplätze haben.<br />
<br />
==== 1. Rhein-Main-OWASP-Stammtisch findet am 25.06.2013, 18:30 statt ====<br />
Der Frankfurter OWASP Stammtisch heißt nun Rhein Main Stammtisch. Der erste Rhein-Main Stammtisch fand am 25.06.2013 in Frankfurt statt.<br />
<br />
===== Der 6. Frankfurter OWASP Stammtisch fand am 21.11.2012 statt =====<br />
<br />
Thema des Stammtisches ist der Rückblick auf den German OWASP Day 2012.<br />
<br />
===== Der 5. Frankfurter OWASP Stammtisch findet am 26.09.2012, 18:30 statt =====<br />
<br />
ACHTUNG: Der 5. OWASP Stammtisch Frankfurt wird im [http://www.ristorante-vitavera.de/1.html Vita Vera] in der [https://maps.google.de/maps?oe=utf-8&ie=UTF-8&q=vita+vera+frankfurt&fb=1&gl=de&hq=vita+vera&hnear=0x47bd096f477096c5:0x422435029b0c600,Frankfurt&cid=0,0,6042038627906823373&ei=mnhXUMP9Nu324QTK24GYCQ&ved=0CJEBEPwSMAM Windmühlenstr. 14, 60329 Frankfurt am Main] stattfinden. Wir suchen eigentlich ein Lokal in dem man auch einmal einen Vortrag halten kann mit anschließender Diskussion. Das haben wir noch nicht gefunden. Bevor deshalb der Stammtisch nie stattfindet, wollen wir ihn zumindest zum Austausch über Securitythemen und Netzwerken stattfinden lassen. Das Lokal liegt in unmittelbarer Bahnhofsnähe, Parkgelegenheiten sind auch vorhanden.<br />
<br />
===== Der 4. Frankfurter OWASP Stammtisch findet am 23.11.2011 statt =====<br />
<br />
ACHTUNG: Der 4. OWASP Stammtisch Frankfurt wird im [http://www.depot1899.de/ Depot 1899] in der [http://j.mp/uHFH9X Textorstraße 33, 60594 Frankfurt am Main] stattfinden. Wir testen gerade Lokale aus in denen man vielleicht auch einmal einen Vortrag halten kann mit anschließender Diskussion.<br />
<br />
===== Der 3. Frankfurter OWASP Stammtisch findet am 21.09.2011 statt =====<br />
<br />
Der 3. OWASP Stammtisch Frankfurt wird wieder in der [http://j.mp/piQdaP Arche Nova, Kasseler Str. 1a, Frankfurt a.M.] stattfinden.</div>Alexioshttps://wiki.owasp.org/index.php?title=OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt&diff=211858OWASP German Chapter Stammtisch Initiative/Frankfurt2016-03-27T14:09:35Z<p>Alexios: /* #24 | OWASP Stammtisch Frankfurt | 25.02.2016, 19:30h */</p>
<hr />
<div>[[Category:Germany]] [[Category:Stammtisch]]<br />
<br />
== Orientierung ==<br />
<br />
=== Wann === <br />
Immer am letzten Donnerstag im Monat, um 19:30 Uhr<br />
<br />
=== Wo === <br />
Bei einem Gastgeber in Frankfurt, u.U. auch im Rhein-Main-Gebiet. Details findest du unter [[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt#Aktuelles|Aktuelles]]<br />
<br />
=== Ablauf === <br />
Vortrag bei einem Gastgeber mit Erfahrungsaustausch und einem geselligen Ausklang in der Nachbarschaft (optional)<br />
<br />
=== Etiquette === <br />
<br />
Wie bei OWASP üblich: Bitte kein Marketing!!! Wir respektieren die OWASP [https://www.owasp.org/index.php?title=Speaker_Agreement | Speaker Agreement] Regeln.<br />
<br />
=== Organisation === <br />
<br />
Wer Interesse hat beim Stammtisch mitzuwirken oder ihn mitzugestalten, bitte bei Alexios melden (alexios punkt fakos aet owasp puhunkt org). Danke!<br />
<br />
Vorträge wie Gastgeber sind jederzeit willkommen. <br />
Die Treffen werden über die [https://lists.owasp.org/mailman/listinfo/owasp-germany/ OWASP Deutschland Mailing-Liste], [https://lists.owasp.org/mailman/listinfo/owasp-frankfurt OWASP Stammtisch Frankfurt Mailing-Liste], [https://twitter.com/owasp_f Twitter], XING [https://www.xing.com/communities/groups/owasp-stammtisch-frankfurt-21f9-1075280 OWASP Stammtisch Frankfurt] und über die Meetup Gruppe [http://www.meetup.com/de/IT-Security-Stammtisch-Frankfurt-OWASP-u-w/ Meetup] angekündigt.<br />
<br />
<br />
<br />
[https://www.owasp.org/images/5/5d/PPT_2013_Toolbox.zip Präsentationsvorlage] und [https://www.owasp.org/images/7/76/OWASP_Presentation_Template.zip Alternative]<br />
<br />
=== Weiteres === <br />
<br />
Über OWASP Germany im Allgemeinen und den Stammtisch Frankfurt <br />
([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_spread_the_word_v1.0.pdf|DOWNLOAD]])<br />
<br />
== Aktuelles ==<br />
==== #25 | OWASP Stammtisch Frankfurt | 31.03.2016, 19:30h ====<br />
Wir laden euch herzlich ein:<br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.2em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:0px;cursor:default;border-color: #8ed9f6;"><br />
'''31.03.2016, 19:30h''' im <br />
</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.1em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:10px;cursor:default;border-color: #8ed9f6;"><br />
DZ BANK AG, Platz der Republik, 60265 Frankfurt am Main</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.0em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:20px;cursor:default;border-color: #8ed9f6;"><br />
([https://www.dzbank.de/content/dam/dzbank_de/de/home/profil/dzbankag/pdf_dokumente/Adressen-und-Standorte/Anfahrt_Frankfurt.pdf Anfahrtsbeschreibung], [https://goo.gl/maps/o2vk4pD4nZ32 Google Maps], [http://her.is/1SeJEeZ HERE Maps])<br />
</code><br />
<br />
<br />
Vortrag von Johannes Schönborn, Manuel Giebel mit dem Titel: „1x1 der Threat Intelligence”.<br />
<br />
Zwecks Planung bitte ich dich, sowie Neugierige und Interessierte, euch<br />
vorab per [http://doodle.com/ez7k3x4uqav4h2ef Doodle anzumelden]. Danke!<br />
<br />
<br />
Für den Konferenzraum ist eine Zutrittsberechtigung erforderlich. Wir freuen uns sehr, wenn du dich kurz vor 19:30 Uhr im Foyer einfindest, damit wir gemeinsam zum Konferenzraum gehen können. Solltest du ein wenig später ankommen, so frage bei der Rezeption nach dem OWASP Stammtisch. Wir holen dich dann ab.<br />
<br />
== Bisherige Stammtische / Treffen ==<br />
<br />
==== #24 | OWASP Stammtisch Frankfurt | 25.02.2016, 19:30h ====<br />
Vortrag: Boban Krsic | „IT-Sicherheitsgesetz - und nun?“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #23 | OWASP Stammtisch Frankfurt | 28.01.2015, 19:30h ====<br />
Vortrag: Christoph | „Social Engineering“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt-Social_Engineering-2016.01.28.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #22 | OWASP Stammtisch Frankfurt | 26.11.2015, 19:30h ====<br />
Vortrag: Johannes Schönborn | „Faraday: Pentesting goes Multiplayer“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #21 | OWASP Stammtisch Frankfurt | 29.10.2015, 19:30h ====<br />
Vortrag: Khalil Bijjou | „Web Application Firewall Bypassing - how to defeat the blue team“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Web_Application_Firewall_Bypassing_-_how_to_defeat_the_blue_team_-_2015.10.29.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #20 | OWASP Stammtisch Frankfurt | 24.09.2015, 19:30h ====<br />
Vortrag: Jan Philipp | „Security Challenges of Cloud Providers“ („Wie baue ich sichere Luftschlösser in den Wolken”) ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Cloud_Provider_Challenges_-_2015.09.24.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #19 | OWASP Stammtisch Frankfurt | 27.08.2015, 19:30h ====<br />
Vortrag: Manuel Giesel und Johannes Schönborn | „Lust und Frust bei der Netzwerk-Anomalieerkennung<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #18 | OWASP Stammtisch Frankfurt | 30.07.2015, 19:30h ====<br />
Vortrag: Katharine Brylski | Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_BestOfKonzept_Sicherheitsanalysen_Webanwendungen_20150730.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #17 | OWASP Stammtisch Frankfurt | 25.06.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | (Un)Sicherheit bei ihrer Applikation? Präventiv statt reaktiv ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_%28Un%29Sicherheit.bei.ihrer.Applikation_20150628.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #16 | OWASP Stammtisch Frankfurt | 28.05.2015, 19:30h ====<br />
Vortrag: Marius Klimmek | Sowas wie Botnetze – Die dunkle Gefahr der Zombie Armee ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Botnetze-Presentation_20150525.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #15 | OWASP Stammtisch Frankfurt | 30.04.2015, 19:30h ====<br />
Vortrag: Daniel Zelle | Einführung und Überblick - Von Car2X- bis In-Vehicel-Security ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Von_Car2X-_bis_In-Vehicle-Security_20150430.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #14 | OWASP Stammtisch Frankfurt | 26.03.2015, 19:30h ====<br />
Vortrag: Michael Ritter | Web Application Firewall Profiling ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_WAF_Profiling_and_Evasion.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #13 | OWASP Stammtisch Frankfurt | 26.02.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | Polyglotte Angriffsvektoren<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #12 | OWASP Stammtisch Frankfurt | 29.01.2015, 19:30h ====<br />
Vortrag: Jan Philipp | SharePoint Sicherheit im 'schlüpfrigen' Griff ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-SharePoint.Sicherheit.im.Griff-20150129.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #11 | OWASP Stammtisch Frankfurt | 27.11.2014, 19:30h ====<br />
Vortrag: Johannes Schönborn | APT – the Good – the Bad, the Ugly<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #10 | OWASP Stammtisch Frankfurt | 30.10.2014, 19:30h ====<br />
Der OWASP Stammtisch Frankfurt feierte sein Comeback!<br> <br />
Vortrag: Alexander Klink | Denial of Service auf Applikationsebene ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-DoS.auf.Applikationsebene-20141030.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== 3. Rhein-Main-OWASP-Stammtisch findet am 27.11.2013 , 19:00 statt ====<br />
Der dritte Rhein-Main-OWASP Stammtisch findet am 27.11.2013 um 19:00 in der Weinbar [http://www.vinothek-wangenrot.de/weinbar-vinothek-mainz.html Wangenrot] am Stephansplatz 1 in Mainz statt.<br />
<br />
==== 2. Rhein-Main-OWASP-Stammtisch findet am 26.09.2013, 18:30 statt ====<br />
Der zweite Rhein Main Stammtisch findet am 26.09.2013 ab 19:00 in Frankfurt im [http://www.ristorante-vitavera.de/1.html Vita Vera] statt.<br />
Bitte meldet euch per Email bei markus.miedaner@owasp.org damit wir genügend Sitzplätze haben.<br />
<br />
==== 1. Rhein-Main-OWASP-Stammtisch findet am 25.06.2013, 18:30 statt ====<br />
Der Frankfurter OWASP Stammtisch heißt nun Rhein Main Stammtisch. Der erste Rhein-Main Stammtisch fand am 25.06.2013 in Frankfurt statt.<br />
<br />
===== Der 6. Frankfurter OWASP Stammtisch fand am 21.11.2012 statt =====<br />
<br />
Thema des Stammtisches ist der Rückblick auf den German OWASP Day 2012.<br />
<br />
===== Der 5. Frankfurter OWASP Stammtisch findet am 26.09.2012, 18:30 statt =====<br />
<br />
ACHTUNG: Der 5. OWASP Stammtisch Frankfurt wird im [http://www.ristorante-vitavera.de/1.html Vita Vera] in der [https://maps.google.de/maps?oe=utf-8&ie=UTF-8&q=vita+vera+frankfurt&fb=1&gl=de&hq=vita+vera&hnear=0x47bd096f477096c5:0x422435029b0c600,Frankfurt&cid=0,0,6042038627906823373&ei=mnhXUMP9Nu324QTK24GYCQ&ved=0CJEBEPwSMAM Windmühlenstr. 14, 60329 Frankfurt am Main] stattfinden. Wir suchen eigentlich ein Lokal in dem man auch einmal einen Vortrag halten kann mit anschließender Diskussion. Das haben wir noch nicht gefunden. Bevor deshalb der Stammtisch nie stattfindet, wollen wir ihn zumindest zum Austausch über Securitythemen und Netzwerken stattfinden lassen. Das Lokal liegt in unmittelbarer Bahnhofsnähe, Parkgelegenheiten sind auch vorhanden.<br />
<br />
===== Der 4. Frankfurter OWASP Stammtisch findet am 23.11.2011 statt =====<br />
<br />
ACHTUNG: Der 4. OWASP Stammtisch Frankfurt wird im [http://www.depot1899.de/ Depot 1899] in der [http://j.mp/uHFH9X Textorstraße 33, 60594 Frankfurt am Main] stattfinden. Wir testen gerade Lokale aus in denen man vielleicht auch einmal einen Vortrag halten kann mit anschließender Diskussion.<br />
<br />
===== Der 3. Frankfurter OWASP Stammtisch findet am 21.09.2011 statt =====<br />
<br />
Der 3. OWASP Stammtisch Frankfurt wird wieder in der [http://j.mp/piQdaP Arche Nova, Kasseler Str. 1a, Frankfurt a.M.] stattfinden.</div>Alexioshttps://wiki.owasp.org/index.php?title=OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt&diff=211857OWASP German Chapter Stammtisch Initiative/Frankfurt2016-03-27T13:59:33Z<p>Alexios: /* Bisherige Stammtische / Treffen */</p>
<hr />
<div>[[Category:Germany]] [[Category:Stammtisch]]<br />
<br />
== Orientierung ==<br />
<br />
=== Wann === <br />
Immer am letzten Donnerstag im Monat, um 19:30 Uhr<br />
<br />
=== Wo === <br />
Bei einem Gastgeber in Frankfurt, u.U. auch im Rhein-Main-Gebiet. Details findest du unter [[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt#Aktuelles|Aktuelles]]<br />
<br />
=== Ablauf === <br />
Vortrag bei einem Gastgeber mit Erfahrungsaustausch und einem geselligen Ausklang in der Nachbarschaft (optional)<br />
<br />
=== Etiquette === <br />
<br />
Wie bei OWASP üblich: Bitte kein Marketing!!! Wir respektieren die OWASP [https://www.owasp.org/index.php?title=Speaker_Agreement | Speaker Agreement] Regeln.<br />
<br />
=== Organisation === <br />
<br />
Wer Interesse hat beim Stammtisch mitzuwirken oder ihn mitzugestalten, bitte bei Alexios melden (alexios punkt fakos aet owasp puhunkt org). Danke!<br />
<br />
Vorträge wie Gastgeber sind jederzeit willkommen. <br />
Die Treffen werden über die [https://lists.owasp.org/mailman/listinfo/owasp-germany/ OWASP Deutschland Mailing-Liste], [https://lists.owasp.org/mailman/listinfo/owasp-frankfurt OWASP Stammtisch Frankfurt Mailing-Liste], [https://twitter.com/owasp_f Twitter], XING [https://www.xing.com/communities/groups/owasp-stammtisch-frankfurt-21f9-1075280 OWASP Stammtisch Frankfurt] und über die Meetup Gruppe [http://www.meetup.com/de/IT-Security-Stammtisch-Frankfurt-OWASP-u-w/ Meetup] angekündigt.<br />
<br />
<br />
<br />
[https://www.owasp.org/images/5/5d/PPT_2013_Toolbox.zip Präsentationsvorlage] und [https://www.owasp.org/images/7/76/OWASP_Presentation_Template.zip Alternative]<br />
<br />
=== Weiteres === <br />
<br />
Über OWASP Germany im Allgemeinen und den Stammtisch Frankfurt <br />
([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_spread_the_word_v1.0.pdf|DOWNLOAD]])<br />
<br />
== Aktuelles ==<br />
==== #24 | OWASP Stammtisch Frankfurt | 25.02.2016, 19:30h ====<br />
Wir laden euch herzlich ein:<br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.2em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:0px;cursor:default;border-color: #8ed9f6;"><br />
'''25.02.2016, 19:30h''' im <br />
</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.1em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:10px;cursor:default;border-color: #8ed9f6;"><br />
Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.0em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:20px;cursor:default;border-color: #8ed9f6;"><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
</code><br />
<br />
<br />
Vortrag von Boban Krsic mit dem Titel: „IT-Sicherheitsgesetz - und nun?”.<br />
<br />
Zwecks Planung bitte ich dich, sowie Neugierige und Interessierte, euch<br />
vorab per [http://doodle.com/ez7k3x4uqav4h2ef Doodle anzumelden]. Danke!<br />
<br />
<br />
Für den Konferenzraum ist eine Zutrittsberechtigung erforderlich. Wir freuen uns sehr, wenn du dich kurz vor 19:30 Uhr im Foyer einfindest, damit wir gemeinsam zum Konferenzraum gehen können. Solltest du ein wenig später ankommen, so frage bei der Rezeption nach dem OWASP Stammtisch. Wir holen dich dann ab.<br />
<br />
== Bisherige Stammtische / Treffen ==<br />
<br />
==== #24 | OWASP Stammtisch Frankfurt | 25.02.2016, 19:30h ====<br />
Vortrag: Boban Krsic | „IT-Sicherheitsgesetz - und nun?“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #23 | OWASP Stammtisch Frankfurt | 28.01.2015, 19:30h ====<br />
Vortrag: Christoph | „Social Engineering“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt-Social_Engineering-2016.01.28.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #22 | OWASP Stammtisch Frankfurt | 26.11.2015, 19:30h ====<br />
Vortrag: Johannes Schönborn | „Faraday: Pentesting goes Multiplayer“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #21 | OWASP Stammtisch Frankfurt | 29.10.2015, 19:30h ====<br />
Vortrag: Khalil Bijjou | „Web Application Firewall Bypassing - how to defeat the blue team“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Web_Application_Firewall_Bypassing_-_how_to_defeat_the_blue_team_-_2015.10.29.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #20 | OWASP Stammtisch Frankfurt | 24.09.2015, 19:30h ====<br />
Vortrag: Jan Philipp | „Security Challenges of Cloud Providers“ („Wie baue ich sichere Luftschlösser in den Wolken”) ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Cloud_Provider_Challenges_-_2015.09.24.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #19 | OWASP Stammtisch Frankfurt | 27.08.2015, 19:30h ====<br />
Vortrag: Manuel Giesel und Johannes Schönborn | „Lust und Frust bei der Netzwerk-Anomalieerkennung<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #18 | OWASP Stammtisch Frankfurt | 30.07.2015, 19:30h ====<br />
Vortrag: Katharine Brylski | Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_BestOfKonzept_Sicherheitsanalysen_Webanwendungen_20150730.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #17 | OWASP Stammtisch Frankfurt | 25.06.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | (Un)Sicherheit bei ihrer Applikation? Präventiv statt reaktiv ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_%28Un%29Sicherheit.bei.ihrer.Applikation_20150628.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #16 | OWASP Stammtisch Frankfurt | 28.05.2015, 19:30h ====<br />
Vortrag: Marius Klimmek | Sowas wie Botnetze – Die dunkle Gefahr der Zombie Armee ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Botnetze-Presentation_20150525.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #15 | OWASP Stammtisch Frankfurt | 30.04.2015, 19:30h ====<br />
Vortrag: Daniel Zelle | Einführung und Überblick - Von Car2X- bis In-Vehicel-Security ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Von_Car2X-_bis_In-Vehicle-Security_20150430.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #14 | OWASP Stammtisch Frankfurt | 26.03.2015, 19:30h ====<br />
Vortrag: Michael Ritter | Web Application Firewall Profiling ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_WAF_Profiling_and_Evasion.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #13 | OWASP Stammtisch Frankfurt | 26.02.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | Polyglotte Angriffsvektoren<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #12 | OWASP Stammtisch Frankfurt | 29.01.2015, 19:30h ====<br />
Vortrag: Jan Philipp | SharePoint Sicherheit im 'schlüpfrigen' Griff ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-SharePoint.Sicherheit.im.Griff-20150129.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #11 | OWASP Stammtisch Frankfurt | 27.11.2014, 19:30h ====<br />
Vortrag: Johannes Schönborn | APT – the Good – the Bad, the Ugly<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #10 | OWASP Stammtisch Frankfurt | 30.10.2014, 19:30h ====<br />
Der OWASP Stammtisch Frankfurt feierte sein Comeback!<br> <br />
Vortrag: Alexander Klink | Denial of Service auf Applikationsebene ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-DoS.auf.Applikationsebene-20141030.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== 3. Rhein-Main-OWASP-Stammtisch findet am 27.11.2013 , 19:00 statt ====<br />
Der dritte Rhein-Main-OWASP Stammtisch findet am 27.11.2013 um 19:00 in der Weinbar [http://www.vinothek-wangenrot.de/weinbar-vinothek-mainz.html Wangenrot] am Stephansplatz 1 in Mainz statt.<br />
<br />
==== 2. Rhein-Main-OWASP-Stammtisch findet am 26.09.2013, 18:30 statt ====<br />
Der zweite Rhein Main Stammtisch findet am 26.09.2013 ab 19:00 in Frankfurt im [http://www.ristorante-vitavera.de/1.html Vita Vera] statt.<br />
Bitte meldet euch per Email bei markus.miedaner@owasp.org damit wir genügend Sitzplätze haben.<br />
<br />
==== 1. Rhein-Main-OWASP-Stammtisch findet am 25.06.2013, 18:30 statt ====<br />
Der Frankfurter OWASP Stammtisch heißt nun Rhein Main Stammtisch. Der erste Rhein-Main Stammtisch fand am 25.06.2013 in Frankfurt statt.<br />
<br />
===== Der 6. Frankfurter OWASP Stammtisch fand am 21.11.2012 statt =====<br />
<br />
Thema des Stammtisches ist der Rückblick auf den German OWASP Day 2012.<br />
<br />
===== Der 5. Frankfurter OWASP Stammtisch findet am 26.09.2012, 18:30 statt =====<br />
<br />
ACHTUNG: Der 5. OWASP Stammtisch Frankfurt wird im [http://www.ristorante-vitavera.de/1.html Vita Vera] in der [https://maps.google.de/maps?oe=utf-8&ie=UTF-8&q=vita+vera+frankfurt&fb=1&gl=de&hq=vita+vera&hnear=0x47bd096f477096c5:0x422435029b0c600,Frankfurt&cid=0,0,6042038627906823373&ei=mnhXUMP9Nu324QTK24GYCQ&ved=0CJEBEPwSMAM Windmühlenstr. 14, 60329 Frankfurt am Main] stattfinden. Wir suchen eigentlich ein Lokal in dem man auch einmal einen Vortrag halten kann mit anschließender Diskussion. Das haben wir noch nicht gefunden. Bevor deshalb der Stammtisch nie stattfindet, wollen wir ihn zumindest zum Austausch über Securitythemen und Netzwerken stattfinden lassen. Das Lokal liegt in unmittelbarer Bahnhofsnähe, Parkgelegenheiten sind auch vorhanden.<br />
<br />
===== Der 4. Frankfurter OWASP Stammtisch findet am 23.11.2011 statt =====<br />
<br />
ACHTUNG: Der 4. OWASP Stammtisch Frankfurt wird im [http://www.depot1899.de/ Depot 1899] in der [http://j.mp/uHFH9X Textorstraße 33, 60594 Frankfurt am Main] stattfinden. Wir testen gerade Lokale aus in denen man vielleicht auch einmal einen Vortrag halten kann mit anschließender Diskussion.<br />
<br />
===== Der 3. Frankfurter OWASP Stammtisch findet am 21.09.2011 statt =====<br />
<br />
Der 3. OWASP Stammtisch Frankfurt wird wieder in der [http://j.mp/piQdaP Arche Nova, Kasseler Str. 1a, Frankfurt a.M.] stattfinden.</div>Alexioshttps://wiki.owasp.org/index.php?title=OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt&diff=211856OWASP German Chapter Stammtisch Initiative/Frankfurt2016-03-27T13:59:24Z<p>Alexios: /* Bisherige Stammtische / Treffen */</p>
<hr />
<div>[[Category:Germany]] [[Category:Stammtisch]]<br />
<br />
== Orientierung ==<br />
<br />
=== Wann === <br />
Immer am letzten Donnerstag im Monat, um 19:30 Uhr<br />
<br />
=== Wo === <br />
Bei einem Gastgeber in Frankfurt, u.U. auch im Rhein-Main-Gebiet. Details findest du unter [[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt#Aktuelles|Aktuelles]]<br />
<br />
=== Ablauf === <br />
Vortrag bei einem Gastgeber mit Erfahrungsaustausch und einem geselligen Ausklang in der Nachbarschaft (optional)<br />
<br />
=== Etiquette === <br />
<br />
Wie bei OWASP üblich: Bitte kein Marketing!!! Wir respektieren die OWASP [https://www.owasp.org/index.php?title=Speaker_Agreement | Speaker Agreement] Regeln.<br />
<br />
=== Organisation === <br />
<br />
Wer Interesse hat beim Stammtisch mitzuwirken oder ihn mitzugestalten, bitte bei Alexios melden (alexios punkt fakos aet owasp puhunkt org). Danke!<br />
<br />
Vorträge wie Gastgeber sind jederzeit willkommen. <br />
Die Treffen werden über die [https://lists.owasp.org/mailman/listinfo/owasp-germany/ OWASP Deutschland Mailing-Liste], [https://lists.owasp.org/mailman/listinfo/owasp-frankfurt OWASP Stammtisch Frankfurt Mailing-Liste], [https://twitter.com/owasp_f Twitter], XING [https://www.xing.com/communities/groups/owasp-stammtisch-frankfurt-21f9-1075280 OWASP Stammtisch Frankfurt] und über die Meetup Gruppe [http://www.meetup.com/de/IT-Security-Stammtisch-Frankfurt-OWASP-u-w/ Meetup] angekündigt.<br />
<br />
<br />
<br />
[https://www.owasp.org/images/5/5d/PPT_2013_Toolbox.zip Präsentationsvorlage] und [https://www.owasp.org/images/7/76/OWASP_Presentation_Template.zip Alternative]<br />
<br />
=== Weiteres === <br />
<br />
Über OWASP Germany im Allgemeinen und den Stammtisch Frankfurt <br />
([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_spread_the_word_v1.0.pdf|DOWNLOAD]])<br />
<br />
== Aktuelles ==<br />
==== #24 | OWASP Stammtisch Frankfurt | 25.02.2016, 19:30h ====<br />
Wir laden euch herzlich ein:<br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.2em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:0px;cursor:default;border-color: #8ed9f6;"><br />
'''25.02.2016, 19:30h''' im <br />
</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.1em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:10px;cursor:default;border-color: #8ed9f6;"><br />
Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.0em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:20px;cursor:default;border-color: #8ed9f6;"><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
</code><br />
<br />
<br />
Vortrag von Boban Krsic mit dem Titel: „IT-Sicherheitsgesetz - und nun?”.<br />
<br />
Zwecks Planung bitte ich dich, sowie Neugierige und Interessierte, euch<br />
vorab per [http://doodle.com/ez7k3x4uqav4h2ef Doodle anzumelden]. Danke!<br />
<br />
<br />
Für den Konferenzraum ist eine Zutrittsberechtigung erforderlich. Wir freuen uns sehr, wenn du dich kurz vor 19:30 Uhr im Foyer einfindest, damit wir gemeinsam zum Konferenzraum gehen können. Solltest du ein wenig später ankommen, so frage bei der Rezeption nach dem OWASP Stammtisch. Wir holen dich dann ab.<br />
<br />
== Bisherige Stammtische / Treffen ==<br />
<br />
==== #24 | OWASP Stammtisch Frankfurt | 25.02.2016, 19:30h ====<br />
Vortrag: Boban Krsic | „IT-Sicherheitsgesetz - und nun?“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
<br />
==== #23 | OWASP Stammtisch Frankfurt | 28.01.2015, 19:30h ====<br />
Vortrag: Christoph | „Social Engineering“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt-Social_Engineering-2016.01.28.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #22 | OWASP Stammtisch Frankfurt | 26.11.2015, 19:30h ====<br />
Vortrag: Johannes Schönborn | „Faraday: Pentesting goes Multiplayer“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #21 | OWASP Stammtisch Frankfurt | 29.10.2015, 19:30h ====<br />
Vortrag: Khalil Bijjou | „Web Application Firewall Bypassing - how to defeat the blue team“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Web_Application_Firewall_Bypassing_-_how_to_defeat_the_blue_team_-_2015.10.29.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #20 | OWASP Stammtisch Frankfurt | 24.09.2015, 19:30h ====<br />
Vortrag: Jan Philipp | „Security Challenges of Cloud Providers“ („Wie baue ich sichere Luftschlösser in den Wolken”) ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Cloud_Provider_Challenges_-_2015.09.24.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #19 | OWASP Stammtisch Frankfurt | 27.08.2015, 19:30h ====<br />
Vortrag: Manuel Giesel und Johannes Schönborn | „Lust und Frust bei der Netzwerk-Anomalieerkennung<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #18 | OWASP Stammtisch Frankfurt | 30.07.2015, 19:30h ====<br />
Vortrag: Katharine Brylski | Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_BestOfKonzept_Sicherheitsanalysen_Webanwendungen_20150730.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #17 | OWASP Stammtisch Frankfurt | 25.06.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | (Un)Sicherheit bei ihrer Applikation? Präventiv statt reaktiv ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_%28Un%29Sicherheit.bei.ihrer.Applikation_20150628.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #16 | OWASP Stammtisch Frankfurt | 28.05.2015, 19:30h ====<br />
Vortrag: Marius Klimmek | Sowas wie Botnetze – Die dunkle Gefahr der Zombie Armee ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Botnetze-Presentation_20150525.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #15 | OWASP Stammtisch Frankfurt | 30.04.2015, 19:30h ====<br />
Vortrag: Daniel Zelle | Einführung und Überblick - Von Car2X- bis In-Vehicel-Security ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Von_Car2X-_bis_In-Vehicle-Security_20150430.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #14 | OWASP Stammtisch Frankfurt | 26.03.2015, 19:30h ====<br />
Vortrag: Michael Ritter | Web Application Firewall Profiling ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_WAF_Profiling_and_Evasion.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #13 | OWASP Stammtisch Frankfurt | 26.02.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | Polyglotte Angriffsvektoren<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #12 | OWASP Stammtisch Frankfurt | 29.01.2015, 19:30h ====<br />
Vortrag: Jan Philipp | SharePoint Sicherheit im 'schlüpfrigen' Griff ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-SharePoint.Sicherheit.im.Griff-20150129.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #11 | OWASP Stammtisch Frankfurt | 27.11.2014, 19:30h ====<br />
Vortrag: Johannes Schönborn | APT – the Good – the Bad, the Ugly<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #10 | OWASP Stammtisch Frankfurt | 30.10.2014, 19:30h ====<br />
Der OWASP Stammtisch Frankfurt feierte sein Comeback!<br> <br />
Vortrag: Alexander Klink | Denial of Service auf Applikationsebene ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-DoS.auf.Applikationsebene-20141030.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== 3. Rhein-Main-OWASP-Stammtisch findet am 27.11.2013 , 19:00 statt ====<br />
Der dritte Rhein-Main-OWASP Stammtisch findet am 27.11.2013 um 19:00 in der Weinbar [http://www.vinothek-wangenrot.de/weinbar-vinothek-mainz.html Wangenrot] am Stephansplatz 1 in Mainz statt.<br />
<br />
==== 2. Rhein-Main-OWASP-Stammtisch findet am 26.09.2013, 18:30 statt ====<br />
Der zweite Rhein Main Stammtisch findet am 26.09.2013 ab 19:00 in Frankfurt im [http://www.ristorante-vitavera.de/1.html Vita Vera] statt.<br />
Bitte meldet euch per Email bei markus.miedaner@owasp.org damit wir genügend Sitzplätze haben.<br />
<br />
==== 1. Rhein-Main-OWASP-Stammtisch findet am 25.06.2013, 18:30 statt ====<br />
Der Frankfurter OWASP Stammtisch heißt nun Rhein Main Stammtisch. Der erste Rhein-Main Stammtisch fand am 25.06.2013 in Frankfurt statt.<br />
<br />
===== Der 6. Frankfurter OWASP Stammtisch fand am 21.11.2012 statt =====<br />
<br />
Thema des Stammtisches ist der Rückblick auf den German OWASP Day 2012.<br />
<br />
===== Der 5. Frankfurter OWASP Stammtisch findet am 26.09.2012, 18:30 statt =====<br />
<br />
ACHTUNG: Der 5. OWASP Stammtisch Frankfurt wird im [http://www.ristorante-vitavera.de/1.html Vita Vera] in der [https://maps.google.de/maps?oe=utf-8&ie=UTF-8&q=vita+vera+frankfurt&fb=1&gl=de&hq=vita+vera&hnear=0x47bd096f477096c5:0x422435029b0c600,Frankfurt&cid=0,0,6042038627906823373&ei=mnhXUMP9Nu324QTK24GYCQ&ved=0CJEBEPwSMAM Windmühlenstr. 14, 60329 Frankfurt am Main] stattfinden. Wir suchen eigentlich ein Lokal in dem man auch einmal einen Vortrag halten kann mit anschließender Diskussion. Das haben wir noch nicht gefunden. Bevor deshalb der Stammtisch nie stattfindet, wollen wir ihn zumindest zum Austausch über Securitythemen und Netzwerken stattfinden lassen. Das Lokal liegt in unmittelbarer Bahnhofsnähe, Parkgelegenheiten sind auch vorhanden.<br />
<br />
===== Der 4. Frankfurter OWASP Stammtisch findet am 23.11.2011 statt =====<br />
<br />
ACHTUNG: Der 4. OWASP Stammtisch Frankfurt wird im [http://www.depot1899.de/ Depot 1899] in der [http://j.mp/uHFH9X Textorstraße 33, 60594 Frankfurt am Main] stattfinden. Wir testen gerade Lokale aus in denen man vielleicht auch einmal einen Vortrag halten kann mit anschließender Diskussion.<br />
<br />
===== Der 3. Frankfurter OWASP Stammtisch findet am 21.09.2011 statt =====<br />
<br />
Der 3. OWASP Stammtisch Frankfurt wird wieder in der [http://j.mp/piQdaP Arche Nova, Kasseler Str. 1a, Frankfurt a.M.] stattfinden.</div>Alexioshttps://wiki.owasp.org/index.php?title=OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt&diff=208886OWASP German Chapter Stammtisch Initiative/Frankfurt2016-02-14T15:59:27Z<p>Alexios: /* Organisation */</p>
<hr />
<div>[[Category:Germany]] [[Category:Stammtisch]]<br />
<br />
== Orientierung ==<br />
<br />
=== Wann === <br />
Immer am letzten Donnerstag im Monat, um 19:30 Uhr<br />
<br />
=== Wo === <br />
Bei einem Gastgeber in Frankfurt, u.U. auch im Rhein-Main-Gebiet. Details findest du unter [[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt#Aktuelles|Aktuelles]]<br />
<br />
=== Ablauf === <br />
Vortrag bei einem Gastgeber mit Erfahrungsaustausch und einem geselligen Ausklang in der Nachbarschaft (optional)<br />
<br />
=== Etiquette === <br />
<br />
Wie bei OWASP üblich: Bitte kein Marketing!!! Wir respektieren die OWASP [https://www.owasp.org/index.php?title=Speaker_Agreement | Speaker Agreement] Regeln.<br />
<br />
=== Organisation === <br />
<br />
Wer Interesse hat beim Stammtisch mitzuwirken oder ihn mitzugestalten, bitte bei Alexios melden (alexios punkt fakos aet owasp puhunkt org). Danke!<br />
<br />
Vorträge wie Gastgeber sind jederzeit willkommen. <br />
Die Treffen werden über die [https://lists.owasp.org/mailman/listinfo/owasp-germany/ OWASP Deutschland Mailing-Liste], [https://lists.owasp.org/mailman/listinfo/owasp-frankfurt OWASP Stammtisch Frankfurt Mailing-Liste], [https://twitter.com/owasp_f Twitter], XING [https://www.xing.com/communities/groups/owasp-stammtisch-frankfurt-21f9-1075280 OWASP Stammtisch Frankfurt] und über die Meetup Gruppe [http://www.meetup.com/de/IT-Security-Stammtisch-Frankfurt-OWASP-u-w/ Meetup] angekündigt.<br />
<br />
<br />
<br />
[https://www.owasp.org/images/5/5d/PPT_2013_Toolbox.zip Präsentationsvorlage] und [https://www.owasp.org/images/7/76/OWASP_Presentation_Template.zip Alternative]<br />
<br />
=== Weiteres === <br />
<br />
Über OWASP Germany im Allgemeinen und den Stammtisch Frankfurt <br />
([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_spread_the_word_v1.0.pdf|DOWNLOAD]])<br />
<br />
== Aktuelles ==<br />
==== #24 | OWASP Stammtisch Frankfurt | 25.02.2016, 19:30h ====<br />
Wir laden euch herzlich ein:<br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.2em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:0px;cursor:default;border-color: #8ed9f6;"><br />
'''25.02.2016, 19:30h''' im <br />
</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.1em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:10px;cursor:default;border-color: #8ed9f6;"><br />
Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.0em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:20px;cursor:default;border-color: #8ed9f6;"><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
</code><br />
<br />
<br />
Vortrag von Boban Krsic mit dem Titel: „IT-Sicherheitsgesetz - und nun?”.<br />
<br />
Zwecks Planung bitte ich dich, sowie Neugierige und Interessierte, euch<br />
vorab per [http://doodle.com/ez7k3x4uqav4h2ef Doodle anzumelden]. Danke!<br />
<br />
<br />
Für den Konferenzraum ist eine Zutrittsberechtigung erforderlich. Wir freuen uns sehr, wenn du dich kurz vor 19:30 Uhr im Foyer einfindest, damit wir gemeinsam zum Konferenzraum gehen können. Solltest du ein wenig später ankommen, so frage bei der Rezeption nach dem OWASP Stammtisch. Wir holen dich dann ab.<br />
<br />
== Bisherige Stammtische / Treffen ==<br />
<br />
==== #23 | OWASP Stammtisch Frankfurt | 28.01.2015, 19:30h ====<br />
Vortrag: Christoph | „Social Engineering“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt-Social_Engineering-2016.01.28.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #22 | OWASP Stammtisch Frankfurt | 26.11.2015, 19:30h ====<br />
Vortrag: Johannes Schönborn | „Faraday: Pentesting goes Multiplayer“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #21 | OWASP Stammtisch Frankfurt | 29.10.2015, 19:30h ====<br />
Vortrag: Khalil Bijjou | „Web Application Firewall Bypassing - how to defeat the blue team“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Web_Application_Firewall_Bypassing_-_how_to_defeat_the_blue_team_-_2015.10.29.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #20 | OWASP Stammtisch Frankfurt | 24.09.2015, 19:30h ====<br />
Vortrag: Jan Philipp | „Security Challenges of Cloud Providers“ („Wie baue ich sichere Luftschlösser in den Wolken”) ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Cloud_Provider_Challenges_-_2015.09.24.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #19 | OWASP Stammtisch Frankfurt | 27.08.2015, 19:30h ====<br />
Vortrag: Manuel Giesel und Johannes Schönborn | „Lust und Frust bei der Netzwerk-Anomalieerkennung<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #18 | OWASP Stammtisch Frankfurt | 30.07.2015, 19:30h ====<br />
Vortrag: Katharine Brylski | Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_BestOfKonzept_Sicherheitsanalysen_Webanwendungen_20150730.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #17 | OWASP Stammtisch Frankfurt | 25.06.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | (Un)Sicherheit bei ihrer Applikation? Präventiv statt reaktiv ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_%28Un%29Sicherheit.bei.ihrer.Applikation_20150628.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #16 | OWASP Stammtisch Frankfurt | 28.05.2015, 19:30h ====<br />
Vortrag: Marius Klimmek | Sowas wie Botnetze – Die dunkle Gefahr der Zombie Armee ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Botnetze-Presentation_20150525.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #15 | OWASP Stammtisch Frankfurt | 30.04.2015, 19:30h ====<br />
Vortrag: Daniel Zelle | Einführung und Überblick - Von Car2X- bis In-Vehicel-Security ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Von_Car2X-_bis_In-Vehicle-Security_20150430.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #14 | OWASP Stammtisch Frankfurt | 26.03.2015, 19:30h ====<br />
Vortrag: Michael Ritter | Web Application Firewall Profiling ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_WAF_Profiling_and_Evasion.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #13 | OWASP Stammtisch Frankfurt | 26.02.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | Polyglotte Angriffsvektoren<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #12 | OWASP Stammtisch Frankfurt | 29.01.2015, 19:30h ====<br />
Vortrag: Jan Philipp | SharePoint Sicherheit im 'schlüpfrigen' Griff ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-SharePoint.Sicherheit.im.Griff-20150129.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #11 | OWASP Stammtisch Frankfurt | 27.11.2014, 19:30h ====<br />
Vortrag: Johannes Schönborn | APT – the Good – the Bad, the Ugly<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #10 | OWASP Stammtisch Frankfurt | 30.10.2014, 19:30h ====<br />
Der OWASP Stammtisch Frankfurt feierte sein Comeback!<br> <br />
Vortrag: Alexander Klink | Denial of Service auf Applikationsebene ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-DoS.auf.Applikationsebene-20141030.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== 3. Rhein-Main-OWASP-Stammtisch findet am 27.11.2013 , 19:00 statt ====<br />
Der dritte Rhein-Main-OWASP Stammtisch findet am 27.11.2013 um 19:00 in der Weinbar [http://www.vinothek-wangenrot.de/weinbar-vinothek-mainz.html Wangenrot] am Stephansplatz 1 in Mainz statt.<br />
<br />
==== 2. Rhein-Main-OWASP-Stammtisch findet am 26.09.2013, 18:30 statt ====<br />
Der zweite Rhein Main Stammtisch findet am 26.09.2013 ab 19:00 in Frankfurt im [http://www.ristorante-vitavera.de/1.html Vita Vera] statt.<br />
Bitte meldet euch per Email bei markus.miedaner@owasp.org damit wir genügend Sitzplätze haben.<br />
<br />
==== 1. Rhein-Main-OWASP-Stammtisch findet am 25.06.2013, 18:30 statt ====<br />
Der Frankfurter OWASP Stammtisch heißt nun Rhein Main Stammtisch. Der erste Rhein-Main Stammtisch fand am 25.06.2013 in Frankfurt statt.<br />
<br />
===== Der 6. Frankfurter OWASP Stammtisch fand am 21.11.2012 statt =====<br />
<br />
Thema des Stammtisches ist der Rückblick auf den German OWASP Day 2012.<br />
<br />
===== Der 5. Frankfurter OWASP Stammtisch findet am 26.09.2012, 18:30 statt =====<br />
<br />
ACHTUNG: Der 5. OWASP Stammtisch Frankfurt wird im [http://www.ristorante-vitavera.de/1.html Vita Vera] in der [https://maps.google.de/maps?oe=utf-8&ie=UTF-8&q=vita+vera+frankfurt&fb=1&gl=de&hq=vita+vera&hnear=0x47bd096f477096c5:0x422435029b0c600,Frankfurt&cid=0,0,6042038627906823373&ei=mnhXUMP9Nu324QTK24GYCQ&ved=0CJEBEPwSMAM Windmühlenstr. 14, 60329 Frankfurt am Main] stattfinden. Wir suchen eigentlich ein Lokal in dem man auch einmal einen Vortrag halten kann mit anschließender Diskussion. Das haben wir noch nicht gefunden. Bevor deshalb der Stammtisch nie stattfindet, wollen wir ihn zumindest zum Austausch über Securitythemen und Netzwerken stattfinden lassen. Das Lokal liegt in unmittelbarer Bahnhofsnähe, Parkgelegenheiten sind auch vorhanden.<br />
<br />
===== Der 4. Frankfurter OWASP Stammtisch findet am 23.11.2011 statt =====<br />
<br />
ACHTUNG: Der 4. OWASP Stammtisch Frankfurt wird im [http://www.depot1899.de/ Depot 1899] in der [http://j.mp/uHFH9X Textorstraße 33, 60594 Frankfurt am Main] stattfinden. Wir testen gerade Lokale aus in denen man vielleicht auch einmal einen Vortrag halten kann mit anschließender Diskussion.<br />
<br />
===== Der 3. Frankfurter OWASP Stammtisch findet am 21.09.2011 statt =====<br />
<br />
Der 3. OWASP Stammtisch Frankfurt wird wieder in der [http://j.mp/piQdaP Arche Nova, Kasseler Str. 1a, Frankfurt a.M.] stattfinden.</div>Alexioshttps://wiki.owasp.org/index.php?title=OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt&diff=208885OWASP German Chapter Stammtisch Initiative/Frankfurt2016-02-14T15:48:21Z<p>Alexios: /* #23 | OWASP Stammtisch Frankfurt | 28.01.2016, 19:30h */</p>
<hr />
<div>[[Category:Germany]] [[Category:Stammtisch]]<br />
<br />
== Orientierung ==<br />
<br />
=== Wann === <br />
Immer am letzten Donnerstag im Monat, um 19:30 Uhr<br />
<br />
=== Wo === <br />
Bei einem Gastgeber in Frankfurt, u.U. auch im Rhein-Main-Gebiet. Details findest du unter [[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt#Aktuelles|Aktuelles]]<br />
<br />
=== Ablauf === <br />
Vortrag bei einem Gastgeber mit Erfahrungsaustausch und einem geselligen Ausklang in der Nachbarschaft (optional)<br />
<br />
=== Etiquette === <br />
<br />
Wie bei OWASP üblich: Bitte kein Marketing!!! Wir respektieren die OWASP [https://www.owasp.org/index.php?title=Speaker_Agreement | Speaker Agreement] Regeln.<br />
<br />
=== Organisation === <br />
<br />
Wer Interesse hat beim Stammtisch mitzuwirken oder ihn mitzugestalten, bitte bei Alexios melden (alexios punkt fakos aet owasp puhunkt org). Danke!<br />
<br />
Vorträge wie Gastgeber sind jederzeit willkommen. <br />
Die Treffen werden über die [https://lists.owasp.org/mailman/listinfo/owasp-germany/ OWASP Deutschland Mailing-Liste], [https://lists.owasp.org/mailman/listinfo/owasp-frankfurt OWASP Stammtisch Frankfurt], [https://twitter.com/owasp_f Twitter], XING [https://www.xing.com/communities/groups/owasp-stammtisch-frankfurt-21f9-1075280 OWASP Stammtisch Frankfurt] und über die Meetup Gruppe [http://www.meetup.com/de/IT-Security-Stammtisch-Frankfurt-OWASP-u-w/ Meetup] angekündigt.<br />
<br />
<br />
<br />
[https://www.owasp.org/images/5/5d/PPT_2013_Toolbox.zip Präsentationsvorlage] und [https://www.owasp.org/images/7/76/OWASP_Presentation_Template.zip Alternative]<br />
<br />
=== Weiteres === <br />
<br />
Über OWASP Germany im Allgemeinen und den Stammtisch Frankfurt <br />
([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_spread_the_word_v1.0.pdf|DOWNLOAD]])<br />
<br />
== Aktuelles ==<br />
==== #24 | OWASP Stammtisch Frankfurt | 25.02.2016, 19:30h ====<br />
Wir laden euch herzlich ein:<br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.2em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:0px;cursor:default;border-color: #8ed9f6;"><br />
'''25.02.2016, 19:30h''' im <br />
</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.1em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:10px;cursor:default;border-color: #8ed9f6;"><br />
Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.0em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:20px;cursor:default;border-color: #8ed9f6;"><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
</code><br />
<br />
<br />
Vortrag von Boban Krsic mit dem Titel: „IT-Sicherheitsgesetz - und nun?”.<br />
<br />
Zwecks Planung bitte ich dich, sowie Neugierige und Interessierte, euch<br />
vorab per [http://doodle.com/ez7k3x4uqav4h2ef Doodle anzumelden]. Danke!<br />
<br />
<br />
Für den Konferenzraum ist eine Zutrittsberechtigung erforderlich. Wir freuen uns sehr, wenn du dich kurz vor 19:30 Uhr im Foyer einfindest, damit wir gemeinsam zum Konferenzraum gehen können. Solltest du ein wenig später ankommen, so frage bei der Rezeption nach dem OWASP Stammtisch. Wir holen dich dann ab.<br />
<br />
== Bisherige Stammtische / Treffen ==<br />
<br />
==== #23 | OWASP Stammtisch Frankfurt | 28.01.2015, 19:30h ====<br />
Vortrag: Christoph | „Social Engineering“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt-Social_Engineering-2016.01.28.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #22 | OWASP Stammtisch Frankfurt | 26.11.2015, 19:30h ====<br />
Vortrag: Johannes Schönborn | „Faraday: Pentesting goes Multiplayer“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #21 | OWASP Stammtisch Frankfurt | 29.10.2015, 19:30h ====<br />
Vortrag: Khalil Bijjou | „Web Application Firewall Bypassing - how to defeat the blue team“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Web_Application_Firewall_Bypassing_-_how_to_defeat_the_blue_team_-_2015.10.29.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #20 | OWASP Stammtisch Frankfurt | 24.09.2015, 19:30h ====<br />
Vortrag: Jan Philipp | „Security Challenges of Cloud Providers“ („Wie baue ich sichere Luftschlösser in den Wolken”) ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Cloud_Provider_Challenges_-_2015.09.24.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #19 | OWASP Stammtisch Frankfurt | 27.08.2015, 19:30h ====<br />
Vortrag: Manuel Giesel und Johannes Schönborn | „Lust und Frust bei der Netzwerk-Anomalieerkennung<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #18 | OWASP Stammtisch Frankfurt | 30.07.2015, 19:30h ====<br />
Vortrag: Katharine Brylski | Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_BestOfKonzept_Sicherheitsanalysen_Webanwendungen_20150730.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #17 | OWASP Stammtisch Frankfurt | 25.06.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | (Un)Sicherheit bei ihrer Applikation? Präventiv statt reaktiv ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_%28Un%29Sicherheit.bei.ihrer.Applikation_20150628.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #16 | OWASP Stammtisch Frankfurt | 28.05.2015, 19:30h ====<br />
Vortrag: Marius Klimmek | Sowas wie Botnetze – Die dunkle Gefahr der Zombie Armee ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Botnetze-Presentation_20150525.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #15 | OWASP Stammtisch Frankfurt | 30.04.2015, 19:30h ====<br />
Vortrag: Daniel Zelle | Einführung und Überblick - Von Car2X- bis In-Vehicel-Security ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Von_Car2X-_bis_In-Vehicle-Security_20150430.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #14 | OWASP Stammtisch Frankfurt | 26.03.2015, 19:30h ====<br />
Vortrag: Michael Ritter | Web Application Firewall Profiling ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_WAF_Profiling_and_Evasion.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #13 | OWASP Stammtisch Frankfurt | 26.02.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | Polyglotte Angriffsvektoren<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #12 | OWASP Stammtisch Frankfurt | 29.01.2015, 19:30h ====<br />
Vortrag: Jan Philipp | SharePoint Sicherheit im 'schlüpfrigen' Griff ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-SharePoint.Sicherheit.im.Griff-20150129.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #11 | OWASP Stammtisch Frankfurt | 27.11.2014, 19:30h ====<br />
Vortrag: Johannes Schönborn | APT – the Good – the Bad, the Ugly<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #10 | OWASP Stammtisch Frankfurt | 30.10.2014, 19:30h ====<br />
Der OWASP Stammtisch Frankfurt feierte sein Comeback!<br> <br />
Vortrag: Alexander Klink | Denial of Service auf Applikationsebene ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-DoS.auf.Applikationsebene-20141030.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== 3. Rhein-Main-OWASP-Stammtisch findet am 27.11.2013 , 19:00 statt ====<br />
Der dritte Rhein-Main-OWASP Stammtisch findet am 27.11.2013 um 19:00 in der Weinbar [http://www.vinothek-wangenrot.de/weinbar-vinothek-mainz.html Wangenrot] am Stephansplatz 1 in Mainz statt.<br />
<br />
==== 2. Rhein-Main-OWASP-Stammtisch findet am 26.09.2013, 18:30 statt ====<br />
Der zweite Rhein Main Stammtisch findet am 26.09.2013 ab 19:00 in Frankfurt im [http://www.ristorante-vitavera.de/1.html Vita Vera] statt.<br />
Bitte meldet euch per Email bei markus.miedaner@owasp.org damit wir genügend Sitzplätze haben.<br />
<br />
==== 1. Rhein-Main-OWASP-Stammtisch findet am 25.06.2013, 18:30 statt ====<br />
Der Frankfurter OWASP Stammtisch heißt nun Rhein Main Stammtisch. Der erste Rhein-Main Stammtisch fand am 25.06.2013 in Frankfurt statt.<br />
<br />
===== Der 6. Frankfurter OWASP Stammtisch fand am 21.11.2012 statt =====<br />
<br />
Thema des Stammtisches ist der Rückblick auf den German OWASP Day 2012.<br />
<br />
===== Der 5. Frankfurter OWASP Stammtisch findet am 26.09.2012, 18:30 statt =====<br />
<br />
ACHTUNG: Der 5. OWASP Stammtisch Frankfurt wird im [http://www.ristorante-vitavera.de/1.html Vita Vera] in der [https://maps.google.de/maps?oe=utf-8&ie=UTF-8&q=vita+vera+frankfurt&fb=1&gl=de&hq=vita+vera&hnear=0x47bd096f477096c5:0x422435029b0c600,Frankfurt&cid=0,0,6042038627906823373&ei=mnhXUMP9Nu324QTK24GYCQ&ved=0CJEBEPwSMAM Windmühlenstr. 14, 60329 Frankfurt am Main] stattfinden. Wir suchen eigentlich ein Lokal in dem man auch einmal einen Vortrag halten kann mit anschließender Diskussion. Das haben wir noch nicht gefunden. Bevor deshalb der Stammtisch nie stattfindet, wollen wir ihn zumindest zum Austausch über Securitythemen und Netzwerken stattfinden lassen. Das Lokal liegt in unmittelbarer Bahnhofsnähe, Parkgelegenheiten sind auch vorhanden.<br />
<br />
===== Der 4. Frankfurter OWASP Stammtisch findet am 23.11.2011 statt =====<br />
<br />
ACHTUNG: Der 4. OWASP Stammtisch Frankfurt wird im [http://www.depot1899.de/ Depot 1899] in der [http://j.mp/uHFH9X Textorstraße 33, 60594 Frankfurt am Main] stattfinden. Wir testen gerade Lokale aus in denen man vielleicht auch einmal einen Vortrag halten kann mit anschließender Diskussion.<br />
<br />
===== Der 3. Frankfurter OWASP Stammtisch findet am 21.09.2011 statt =====<br />
<br />
Der 3. OWASP Stammtisch Frankfurt wird wieder in der [http://j.mp/piQdaP Arche Nova, Kasseler Str. 1a, Frankfurt a.M.] stattfinden.</div>Alexioshttps://wiki.owasp.org/index.php?title=OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt&diff=208884OWASP German Chapter Stammtisch Initiative/Frankfurt2016-02-14T15:47:10Z<p>Alexios: /* Bisherige Stammtische / Treffen */</p>
<hr />
<div>[[Category:Germany]] [[Category:Stammtisch]]<br />
<br />
== Orientierung ==<br />
<br />
=== Wann === <br />
Immer am letzten Donnerstag im Monat, um 19:30 Uhr<br />
<br />
=== Wo === <br />
Bei einem Gastgeber in Frankfurt, u.U. auch im Rhein-Main-Gebiet. Details findest du unter [[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt#Aktuelles|Aktuelles]]<br />
<br />
=== Ablauf === <br />
Vortrag bei einem Gastgeber mit Erfahrungsaustausch und einem geselligen Ausklang in der Nachbarschaft (optional)<br />
<br />
=== Etiquette === <br />
<br />
Wie bei OWASP üblich: Bitte kein Marketing!!! Wir respektieren die OWASP [https://www.owasp.org/index.php?title=Speaker_Agreement | Speaker Agreement] Regeln.<br />
<br />
=== Organisation === <br />
<br />
Wer Interesse hat beim Stammtisch mitzuwirken oder ihn mitzugestalten, bitte bei Alexios melden (alexios punkt fakos aet owasp puhunkt org). Danke!<br />
<br />
Vorträge wie Gastgeber sind jederzeit willkommen. <br />
Die Treffen werden über die [https://lists.owasp.org/mailman/listinfo/owasp-germany/ OWASP Deutschland Mailing-Liste], [https://lists.owasp.org/mailman/listinfo/owasp-frankfurt OWASP Stammtisch Frankfurt], [https://twitter.com/owasp_f Twitter], XING [https://www.xing.com/communities/groups/owasp-stammtisch-frankfurt-21f9-1075280 OWASP Stammtisch Frankfurt] und über die Meetup Gruppe [http://www.meetup.com/de/IT-Security-Stammtisch-Frankfurt-OWASP-u-w/ Meetup] angekündigt.<br />
<br />
<br />
<br />
[https://www.owasp.org/images/5/5d/PPT_2013_Toolbox.zip Präsentationsvorlage] und [https://www.owasp.org/images/7/76/OWASP_Presentation_Template.zip Alternative]<br />
<br />
=== Weiteres === <br />
<br />
Über OWASP Germany im Allgemeinen und den Stammtisch Frankfurt <br />
([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_spread_the_word_v1.0.pdf|DOWNLOAD]])<br />
<br />
== Aktuelles ==<br />
==== #23 | OWASP Stammtisch Frankfurt | 28.01.2016, 19:30h ====<br />
Wir laden euch herzlich ein:<br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.2em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:0px;cursor:default;border-color: #8ed9f6;"><br />
'''26.11.2015, 19:30h''' im <br />
</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.1em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:10px;cursor:default;border-color: #8ed9f6;"><br />
Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main</code><br />
<br />
<code style="font-family:Tahoma,Geneva,Arial,sans-serif; font-size:1.0em;background:#e9ffd9;border-color: #D1FAB6;color:#555;border:.1em solid;border-radius:10px;padding:10px 10px 10px 10px;margin:20px;cursor:default;border-color: #8ed9f6;"><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
</code><br />
<br />
<br />
Vortrag von Christoph mit dem Titel: „Social Engineering”.<br />
<br />
Zwecks Planung bitte ich dich, sowie Neugierige und Interessierte, euch<br />
vorab per [http://doodle.com/ez7k3x4uqav4h2ef Doodle anzumelden]. Danke!<br />
<br />
<br />
Für den Konferenzraum ist eine Zutrittsberechtigung erforderlich. Wir freuen uns sehr, wenn du dich kurz vor 19:30 Uhr im Foyer einfindest, damit wir gemeinsam zum Konferenzraum gehen können. Solltest du ein wenig später ankommen, so frage bei der Rezeption nach dem OWASP Stammtisch. Wir holen dich dann ab.<br />
<br />
== Bisherige Stammtische / Treffen ==<br />
<br />
==== #23 | OWASP Stammtisch Frankfurt | 28.01.2015, 19:30h ====<br />
Vortrag: Christoph | „Social Engineering“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt-Social_Engineering-2016.01.28.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #22 | OWASP Stammtisch Frankfurt | 26.11.2015, 19:30h ====<br />
Vortrag: Johannes Schönborn | „Faraday: Pentesting goes Multiplayer“ <br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #21 | OWASP Stammtisch Frankfurt | 29.10.2015, 19:30h ====<br />
Vortrag: Khalil Bijjou | „Web Application Firewall Bypassing - how to defeat the blue team“ ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Web_Application_Firewall_Bypassing_-_how_to_defeat_the_blue_team_-_2015.10.29.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #20 | OWASP Stammtisch Frankfurt | 24.09.2015, 19:30h ====<br />
Vortrag: Jan Philipp | „Security Challenges of Cloud Providers“ („Wie baue ich sichere Luftschlösser in den Wolken”) ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_-_Cloud_Provider_Challenges_-_2015.09.24.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #19 | OWASP Stammtisch Frankfurt | 27.08.2015, 19:30h ====<br />
Vortrag: Manuel Giesel und Johannes Schönborn | „Lust und Frust bei der Netzwerk-Anomalieerkennung<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #18 | OWASP Stammtisch Frankfurt | 30.07.2015, 19:30h ====<br />
Vortrag: Katharine Brylski | Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_BestOfKonzept_Sicherheitsanalysen_Webanwendungen_20150730.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #17 | OWASP Stammtisch Frankfurt | 25.06.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | (Un)Sicherheit bei ihrer Applikation? Präventiv statt reaktiv ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_%28Un%29Sicherheit.bei.ihrer.Applikation_20150628.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #16 | OWASP Stammtisch Frankfurt | 28.05.2015, 19:30h ====<br />
Vortrag: Marius Klimmek | Sowas wie Botnetze – Die dunkle Gefahr der Zombie Armee ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Botnetze-Presentation_20150525.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #15 | OWASP Stammtisch Frankfurt | 30.04.2015, 19:30h ====<br />
Vortrag: Daniel Zelle | Einführung und Überblick - Von Car2X- bis In-Vehicel-Security ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_Von_Car2X-_bis_In-Vehicle-Security_20150430.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #14 | OWASP Stammtisch Frankfurt | 26.03.2015, 19:30h ====<br />
Vortrag: Michael Ritter | Web Application Firewall Profiling ([[Image:Ico_pdf.gif]] [[media:OWASP_Stammtisch_Frankfurt_WAF_Profiling_and_Evasion.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #13 | OWASP Stammtisch Frankfurt | 26.02.2015, 19:30h ====<br />
Vortrag: Alexios Fakos | Polyglotte Angriffsvektoren<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #12 | OWASP Stammtisch Frankfurt | 29.01.2015, 19:30h ====<br />
Vortrag: Jan Philipp | SharePoint Sicherheit im 'schlüpfrigen' Griff ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-SharePoint.Sicherheit.im.Griff-20150129.pdf|DOWNLOAD]])<br><br />
Standort: Franklinstraße 50, 60486 Frankfurt am Main <br><br />
([http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/Standorte/Standorte_Frankfurt_2012_Dvx.pdf Anfahrtsbeschreibung], [https://maps.google.de/maps?f=q&source=s_q&hl=de&geocode&aq&sll=51.480587,11.964602&sspn=0.04426,0.077162&vpsrc=0&ie=UTF8&ll=50.114579,8.657312&spn=0.045573,0.077162&t=m&z=14&iwloc=A&cid=16776109168896552281&output=classic&dg=brw Google Maps])<br />
<br />
==== #11 | OWASP Stammtisch Frankfurt | 27.11.2014, 19:30h ====<br />
Vortrag: Johannes Schönborn | APT – the Good – the Bad, the Ugly<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== #10 | OWASP Stammtisch Frankfurt | 30.10.2014, 19:30h ====<br />
Der OWASP Stammtisch Frankfurt feierte sein Comeback!<br> <br />
Vortrag: Alexander Klink | Denial of Service auf Applikationsebene ([[Image:Ico_pdf.gif]] [[media:OWASP_Frankfurt_Stammtisch-DoS.auf.Applikationsebene-20141030.pdf|DOWNLOAD]])<br><br />
Standort: Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main<br><br />
([http://www.pwc.de/de/de/standorte/assets/frankfurt_de.pdf Anfahrtsbeschreibung], [https://www.google.de/maps/dir//Tower+185,+Friedrich-Ebert-Anlage+35+-+37,+60327+Frankfurt+am+Main/@50.110458,8.656132,17z/data=!4m12!1m3!3m2!1s0x47bd0957a164e831:0xa9782263d8256a05!2sTower+185!4m7!1m0!1m5!1m1!1s0x47bd0957a164e831:0xa9782263d8256a05!2m2!1d8.656132!2d50.110458 Google Maps], [http://her.is/uLmaGf HERE Maps])<br />
<br />
==== 3. Rhein-Main-OWASP-Stammtisch findet am 27.11.2013 , 19:00 statt ====<br />
Der dritte Rhein-Main-OWASP Stammtisch findet am 27.11.2013 um 19:00 in der Weinbar [http://www.vinothek-wangenrot.de/weinbar-vinothek-mainz.html Wangenrot] am Stephansplatz 1 in Mainz statt.<br />
<br />
==== 2. Rhein-Main-OWASP-Stammtisch findet am 26.09.2013, 18:30 statt ====<br />
Der zweite Rhein Main Stammtisch findet am 26.09.2013 ab 19:00 in Frankfurt im [http://www.ristorante-vitavera.de/1.html Vita Vera] statt.<br />
Bitte meldet euch per Email bei markus.miedaner@owasp.org damit wir genügend Sitzplätze haben.<br />
<br />
==== 1. Rhein-Main-OWASP-Stammtisch findet am 25.06.2013, 18:30 statt ====<br />
Der Frankfurter OWASP Stammtisch heißt nun Rhein Main Stammtisch. Der erste Rhein-Main Stammtisch fand am 25.06.2013 in Frankfurt statt.<br />
<br />
===== Der 6. Frankfurter OWASP Stammtisch fand am 21.11.2012 statt =====<br />
<br />
Thema des Stammtisches ist der Rückblick auf den German OWASP Day 2012.<br />
<br />
===== Der 5. Frankfurter OWASP Stammtisch findet am 26.09.2012, 18:30 statt =====<br />
<br />
ACHTUNG: Der 5. OWASP Stammtisch Frankfurt wird im [http://www.ristorante-vitavera.de/1.html Vita Vera] in der [https://maps.google.de/maps?oe=utf-8&ie=UTF-8&q=vita+vera+frankfurt&fb=1&gl=de&hq=vita+vera&hnear=0x47bd096f477096c5:0x422435029b0c600,Frankfurt&cid=0,0,6042038627906823373&ei=mnhXUMP9Nu324QTK24GYCQ&ved=0CJEBEPwSMAM Windmühlenstr. 14, 60329 Frankfurt am Main] stattfinden. Wir suchen eigentlich ein Lokal in dem man auch einmal einen Vortrag halten kann mit anschließender Diskussion. Das haben wir noch nicht gefunden. Bevor deshalb der Stammtisch nie stattfindet, wollen wir ihn zumindest zum Austausch über Securitythemen und Netzwerken stattfinden lassen. Das Lokal liegt in unmittelbarer Bahnhofsnähe, Parkgelegenheiten sind auch vorhanden.<br />
<br />
===== Der 4. Frankfurter OWASP Stammtisch findet am 23.11.2011 statt =====<br />
<br />
ACHTUNG: Der 4. OWASP Stammtisch Frankfurt wird im [http://www.depot1899.de/ Depot 1899] in der [http://j.mp/uHFH9X Textorstraße 33, 60594 Frankfurt am Main] stattfinden. Wir testen gerade Lokale aus in denen man vielleicht auch einmal einen Vortrag halten kann mit anschließender Diskussion.<br />
<br />
===== Der 3. Frankfurter OWASP Stammtisch findet am 21.09.2011 statt =====<br />
<br />
Der 3. OWASP Stammtisch Frankfurt wird wieder in der [http://j.mp/piQdaP Arche Nova, Kasseler Str. 1a, Frankfurt a.M.] stattfinden.</div>Alexios