OWASP - User contributions [en]

Germany

2019-04-10T14:24:42Z

Bohem: /* Über OWASP */ Fixes a typo

__NOTOC__
=Willkommen=
<div style="height:11em;">[[Image:OWASP_German_Chapter_WHITE_PNG.png|500px|right]]</div>


<div style="background:lightblue;text-align:center;font-weight:bold;padding:2em">
OWASP [[Germany/Chapter_Meetings|Germany Chapter Meeting]] am 10.04.2019 ab 13:00 Uhr
 in der Brauerstraße 48 in Karlsruhe
</div>

== Über OWASP ==
OWASP ist eine unabhängige, weltweite Community mit dem Ziel, die Bedeutung der Sicherheit von Webanwendungen »sichtbar zu machen« Know-How zur Entwicklung und den Betrieb sicherer Webanwendungen zu verbreiten und frei zur Verfügung zu stellen. Sämtliche OWASP-Instrumente, wie Dokumente, Videos, Slides, Podcasts etc. sind kostenlos unter einer freien Lizenz verwendbar.

OWASP ist frei, offen und herstellerunabhängig. Alle Interessierten sind herzlich willkommen etwa in [[:Category:OWASP Project|Projekten]] mitzuarbeiten oder nur am Wissen zu partizipieren. Eine prima Gelegenheit sich einen Eindruck zu verschaffen, sind die [[OWASP_German_Chapter_Stammtisch_Initiative|OWASP Stammtische]], die regelmäßig in vielen deutschen Großstädten stattfinden.

== OWASP German Chapter ==
OWASP organisiert sich in sogenannten [[OWASP Chapter|Chaptern]]. Eines davon ist das deutsche Chapter, auf dessen Seite ihr euch gerade befindet. Der Chapter Lead wird jährlich im [[Germany/Chapter_Meetings|Chapter Meeting]] gewählt. Derzeitiger Chapter Lead ist [mailto:tobias.glemser@owasp.org Tobias Glemser].

Mitglieder im Chapter Board sind (in alphabetischer Reihenfolge):
[mailto:achim@owasp.org Achim Hoffmann],
[mailto:alexios.fakos@owasp.org Alexios Fakos],
[mailto:bastian.braun@owasp.org Bastian Braun],
[mailto:bjoern.kimminich@owasp.org Bjoern Kimminich],
[mailto:boris@owasp.org Boris Hemkemeier],
[mailto:christian.becker@owasp.org Christian Becker],
[mailto:christian.dresen@owasp.org Christian Dresen],
[mailto:danielgora@owasp.org Daniel Gora],
[mailto:henrik.willert@owasp.org Henrik Willert],
[mailto:ingo.hanke@owasp.org Ingo Hanke],
[mailto:ives.laaf@gmail.com Ives Laaf],
[mailto:jan.wolff@owasp.org Jan Wolff],
[mailto:johannes.schoenborn@owasp.org Johannes Schoenborn],
[mailto:martin.johns@owasp.org Martin Johns],
[mailto:michael.schaefer@owasp.org Michael Schäfer],
[mailto:ralf.allar@owasp.org Ralf Allar],
[mailto:sven.schlueter@owasp.org Sven Schlüter],
[mailto:tobias.glemser@owasp.org Tobias Glemser],
[mailto:torsten.gigler@owasp.org Torsten Gigler]

=Projekte=
== Projekte des German Chapter ==

Das German Chapter initiiert oder beteiligt sich an [[:Category:OWASP_Project|OWASP Projekten]]. Was das deutsche Chapter auf die Beine gestellt hat, kann sich blicken lassen! Ein Ausschnitt:

* OWASP SSL advanced forensic tool - O-Saft
* OWASP Juice Shop
* OWASP Top 10 Privacy Risks Project
* OWASP Top 10 für Entwickler
* OWASP Top 10 2013: Deutsche Übersetzung
* Best Practices: Web Application Firewalls

Details findet ihr auf der Liste der [[Germany/Projekte|deutschen Projekte]].

=Treffen=
== OWASP Stammtisch-Initiative ==

In mehreren Städten gibt es [[Germany/Stammtisch_Initiative|OWASP-Stammtische]], bei denen man sich in lockerer Runde trifft, um sich auszutauschen, nette Leute kennenzulernen oder ernsthafte Sicherheitsthemen zu diskutieren -- meinstens mit Vortrag.

Aktive Stammtische gibt es (Stand August 2017) in:
[[OWASP_German_Chapter_Stammtisch_Initiative/München|München]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt|Frankfurt]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Stuttgart|Stuttgart]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Köln|Köln]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Hamburg|Hamburg]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Karlsruhe|Karlsruhe]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Dresden|Dresden]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Ruhrpott|Ruhrpott]],
[http://lists.owasp.org/pipermail/owasp-germany/2017-August/001012.html Heilbronn-Franken (neu)]

== German OWASP Day ==

Der [[German OWASP Day]] ist die jährlich stattfindende Konferez des German OWASP Chapter.
Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.

Der letzte German OWASP Day [https://god.owasp.de/archive/2018/ fand am 20.11.2018 in Münster statt]. Der nächste wird in Karlsruhe sein und befindet sich derzeit noch in Planung! Informationen werden (sobald verfügbar) über die Website bekanntgegeben: ''' https://god.owasp.de '''.

== Chapter Meetings ==

Das German Chapter trifft sich in unregelmäßigen Abständen, um die Arbeit innerhalb des German Chapter zu organisieren. Unser Chapter hat die Besonderheit, dass wir unter unserem Dach, die einzelnen Stammtische haben -- die in anderen Ländern als Chapter organisiert sind. Insofern sind
unsere Chapter Meetings eine Mischung aus Vortrag und Organisation.

Gemäß dem ''O'' in OWASP für ''open'' sind diese Treffen öffentlich. Jedermann kann daran teilnehmen und sich an der Arbeit im Chapter beteiligen. Der Termin zum Treffen -- Chapter Meeting -- wird auf dieser Seite bekannt gegeben, zusammen mit der Agenda. Selbstverständlich sind auch alle Ergebnisse der Treffen öffentlich. Was auf den vergangenen Treffen jeweils besprochen / beschlossen wurde ist auf der [[Germany/Chapter_Meetings|Chapter Meetings]]-Seite zu finden.

Das nächste Chapter Meeting wird am 10. April in Karlsruhe stattfinden. Eine OWASP Mitgliedschaft ist '''keine''' Voraussetzung zur Teilnahme! Lediglich für die Abstimmungen ist eine Mitgliedschaft notwendig. Details zu Agenda und Ort sind [[Germany/Chapter_Meetings#OWASP_Germany_Chapter_Meeting_am_10.04.2019_in_Karlsruhe|hier auf der Chapter Meeting Seite zu finden]].

=Archiv=
=== Aktuelleres / Historisches ===
;19-20.11.2018: [https://god.owasp.de/archive/2018/ German OWASP Day 2018 in Münster]
;14.11.2017: [[German_OWASP_Day_2017|9ter German OWASP Day in Essen]]
;11./12.09.2017: [[Cheat Sheet Workshop|Cheat Sheet Workshop in Frankfurt]]
;29.11.2016: [[German_OWASP_Day_2016|8ter German OWASP Day in Darmstadt]]
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]
;06.10.2015: Das OWASP German Chapter wird auch in diesem Jahr dank der Unterstützung der Nürnberg Messe auf der it-sa mit einem eigenen Stand (12.0-123) vertreten sein. Wir freuen uns auf spannende Gespräche am Stand.
;13.04.2015: [https://lists.owasp.org/pipermail/owasp-germany/2015-March/000758.html German OWASP Chapter Meeting] in Frankfurt
;23.01.2015: Übesetzung der '''OWASP Top 10 von 2013''' in Deutsch [[Germany/Projekte/Top_10|OWASP Top 10: Deutsche Übersetzung]]
;09.12.2014: [[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]
;14.03.2014: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind [[Germany/Chapter_Meetings|hier]] zu finden.
;20. - 23.08.2013: Das German Chapter veranstaltete die [[AppSecEU2013|OWASP AppSec Europe Research 2013]].
;10.08.2013: Partnerschaft mit dem [http://www.isaca.de/ ISACA Germany Chapter e.V.]: Zum Nutzen für Mitgleider beider Seiten wurde mit dem ISACA Germany Chapter e.V. eine Partnerschaft geschlossen. Die Partnerschaft ermöglicht es Mitgliedern des ISACA Germany Chapter e.V. an der OWASP AppSec Research 2013 zu vergünstigten Konditionen teilzunehmen. Das OWASP German Chapter erhält Gelegenheit auf ISACA Konferenzen präsent zu sein. Wir freuen uns sehr auf die Partnerschaft.
;01.07.2013: Programm für AppSec Research EU 2013 ist [http://owaspappseceu2013.sched.org/ online] 
;10.06.2013: Registrierung für AppSec Research EU 2013 ist hier https://appsec.eu/registration/ .
;17.05.2013: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind [[Germany/Chapter_Meetings|hier]] zu finden.
;22.02.2013: German Chapter Meeting findet am '''17.05.2013''' in Frankfurt statt.
;5.12.2012: Das German Chapter veranstaltet die [[AppSecEU2013|OWASP AppSec Europe Research 2013]].
: The German Chapter is proud announcing [[AppSecEU2013|date and location]] of AppSecEU 2013.
;10.11.2012: [[German_OWASP_Day_2012|German OWASP Day 2012]]: Die hochrangige Websicherheitskonferenz war ein voller Erfolg: Dank gilt allen Besuchern -- gut ein Drittel mehr als letztes Jahr -- Sprechern und Sponsoren.
;07.11.2012: [[Germany/Chaptersponsor|Chapter Sponsoring]] möglich.
;03.11.2012: Webseite des [[Germany|OWASP German Chapter]] neu strukturiert.
;10.09.2012: [[German_OWASP_Day_2012/Programm|Programm]] für [[German_OWASP_Day_2012|German OWASP Day 2012]] in München am 7.11.2012 steht
;13.07.2012: Am Ende der AppSecEU 2012 wurde offiziell verkündet, dass das Deutsche Chapter die AppSec Research 2013 hostet. Ort Hamburg, Zeit: Juli
;02.05.2012: Call for Presentations eröffnet für [[German_OWASP_Day_2012|German OWASP Day 2012]]. Ort: München

Weitere Nachrichten sind [[Germany/Aktuelles|im Archiv]].

=== Unsere Konferenzen ===

;19.11.2018: [https://god.owasp.de/archive/2018/ 10ter German OWASP Day 2018 in Münster]
;14.11.2017: [[German_OWASP_Day_2017|9ter German OWASP Day in Essen]]
;29.11.2016: [[German_OWASP_Day_2016|8ter German OWASP Day in Darmstadt]]
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]
;09.12.2014: [[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]
;20-23.08.2013: Das German Chapter organisierte die (europäische) [[AppSecEU2013|OWASP AppSec Europe Research 2013]].
;7.11.2012: [[German_OWASP_Day_2012|German OWASP Day 2012]] in München

Eine Liste aller vom OWASP German Chapter durchgeführten Konferenzen ist [[Germany/Konferenzen|hier]] zu finden.

=Kontakt=/
=== So erreichen Sie uns ===

;E-Mail: < Befindet sich gerade in Abstimmung. Bis dahin bitte die Adressen der Boardmember nutzen. >
;Twitter: [https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]
;[https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailingliste]: [mailto:germany-chapter@owasp.org germany-chapter@owasp.org] ([https://lists.owasp.org/pipermail/owasp-germany/ Mailarchiv der alten Liste])

Mitarbeit am OWASP German Chapter ist willkommen. Wir freuen uns auf Beiträge in unserer [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailingliste]. Diese sollten natürlich einen Bezug zu Anwendungssicherheit haben. Denkbar sind also u. A. Fragen, Tipps, aktuelle Hinweise, Stellenangebote oder Projektgesuche. Es gibt auch ein [https://lists.owasp.org/pipermail/owasp-germany Mailarchiv] der *alten* Liste, die nicht mehr genutzt wird. Wenn Sie nicht an den Meetings teilnehmen können, kontaktieren Sie einfach einen der [[Germany|German Chapter Board Member]] oder schreiben Sie eine E-Mail an unsere Mailingliste [mailto:germany-chapter@owasp.org germany-chapter@owasp.org].

=== Presse ===

Informationen für die Presse finden sich [[Germany/press|hier]].

=Sponsoren=
=== Sponsoren des German OWASP Chapters ===


{| style="background-color:inherit;" width="99%"
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]
|-
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]
| [[Image:Logo-bitinspect.png|160px|link=https://bitinspect.de|bitinspect.de]]
|-
| 
| 
|-
| [[Image:xing_logo.png|120px|link=https://corporate.xing.com/english/company/security-at-xing/|www.xing.com]]
| 
|- |
|-
|
|
|- |
|
|
|}

Unser Angebot an Sponsoren / Offer for Chapter Sponsors: [[Germany/Chaptersponsor|OWASP German Chapter Sponsorship]].

<headertabs></headertabs>

(Kleines [[Germany/Website_HowTo|HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Europe]]
[[Category:OWASP Chapter]]

Germany/Chapter Meetings

2018-04-23T19:47:49Z

Bohem: Protokoll hinzugefügt

__NOTOC__

[[Image:owasp_germany_logo.png|right]]

{| style="background-color:inherit;border-bottom:1px solid black" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
In Deutschland haben wir als organisatorisches Dach ein Chapter, im Rahmen dessen alle Aktivitäten wie Konferenzen etc. stattfinden. Die Stammtische sind keine eigenständigen Chapter.

Anders als die meisten OWASP Chapter auf der Welt, haben wir daher bislang Chapter Meetings für Treffen eher organisatorischer Natur gehabt, bei denen es am Rande auch Vorträge gab. Die Chapter-Meetings im globalen Sinne waren/sind unsere jährliche Konferenzen (German OWASP Day).

=== Chapter Meetings ===
Hier sind Informationen zu den Treffen des German Chapter -- Chapter Meeting -- zu finden. Die Agenda, Einladung sowie die erarbeiteten Ergebnisse werden hier veröffentlicht.

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |

=== Chapter Meetings ===
This page contains everything you need to know about Chapter Meetings of the OWASP German Chapter. Please note that in Germany we have the so-called "Stammtische" in the metropolitan areas which serve the purpose of other chapters world-wide. '''The''' -- we only have one -- German Chapter is our roof organisation which helps us to promote OWASP and it's goals within Germany.

Please note, most information is in German only.
|}

== OWASP Germany Chapter Meeting am 11.04.2018 in Frankfurt ==

Das nächste Chapter Meeting wird [http://lists.owasp.org/pipermail/owasp-germany/2018-February/001064.html am 11. April in Frankfurt stattfinden]. Bitte meldet euch bei [mailto:tobias.glemser@owasp.org Tobias Glemser], falls ihr teilnehmen wollt. Eine OWASP Mitgliedschaft ist '''keine''' Voraussetzung zur Teilnahme! Lediglich für die Abstimmungen ist eine Mitgliedschaft notwendig. [https://www.owasp.org/images/c/c5/2018-04-11_German_Chapter_Meeting_Minutes.pdf Protokoll]
* Uhrzeit: Mittwoch, den 11.04.2018, 13-18h
* Ort: [https://www.saalbau.com/raumangebot/detail/?SAALBAU-Gutleut&objekt=78 SAALBAU Gutleut], FFM

'''Agenda:'''

* Begrüßung und kurze namentliche Vorstellung (Tobias, 15 Minuten)
* Aktuelles zu OWASP Global, AppSec Verschiebung (Tobias, 15 Minuten)
* Übersicht Finanzen (Ingo, 15 Minuten)
* OWASP Summit (Björn, 15 Minuten)
* OWASP TOP 10 2017 - Stand der Dinge (15 Minuten)
*GOD 2018 - Stand der Dinge (Christian Dreesen, 15 Minuten)
* Konkretes Vorgehen Chapter-Sponsoring (Alexios, 15 Minuten)
*10 Jahre OWASP Germany (?) (Alexios, 10 Minuten)
*Cheat Sheet Workshop mit Jim im Juli (??, 15 Minuten)
* Ort nächstes Chapter-Meeting.

== OWASP Germany Chapter Meeting am 13.11.2017 in Essen ==
* Uhrzeit: Montag, den 13.11.2017, 14-18h, [https://www.owasp.org/images/6/62/20171113_Chapter_Meeting_German_OWASP_Chapter.pdf Protokoll]
* Ort: Unperfekthaus in Essen ( <nowiki>http://www.unperfekthaus.de/anfahrt/</nowiki>)

'''Agenda mit Minutes:'''

* Begrüßung und kurze namentliche Vorstellung (Tobias, 15 Minuten)
* Stand der Finanzen, German Chapter Budget at OWASP. (Ingo, 60 Minuten)
** Support Projekte des German Chapter: benötigte Ressourcen / Budget
*** OWASP on the move
*** Cheat Sheet Workshop 2018
*** OWASP TOP 10 2017 - DE Workshop
*** Stammtische (assets)
*** weitere
** Support internationale Projekte
*** OWASP Summit London 2018
*** weitere
* OWASP TOP 10 2017 - deutsche Übersetzung: Team und Workshop (15 Minuten)
** Orga-Hut?
** Wer macht mit?
* Stand OWASP on the move Germany (Alexios, Torsten, Bastian, 15 Minuten))
* Öffentlichkeitsarbeit: bessere Sichtbarkeit für das German Chapter (30 Minuten)
** Einstiegsseite owasp.de (Stand der Dinge von Torsten und Henrik?) ([[User:Hwillert/sandbox/Germany|RC]])
** Optionen (selbstgestrickt, Agentur, abwarten, ...)
** Website GOD :-))
* aus dem letzten Meeting: Henrik & Torsten: Kümmern sich um ein Konzept für freie (oder kostengünstige) Trainings am Tag nach dem GOD 2017 in Essen: Stand? (10 Minuten)
* GODays 2018ff: Optimierungsmöglichkeiten Orga (30 Minuten)
** Zusammenarbeit mit Foundation
** Öffentlichkeitsarbeit
** Standardisierungen in Arbeitsabläufen (cheat sheet 2.0)
** Preisgestaltung (Henrik) [https://docs.google.com/a/owasp.org/spreadsheets/d/1bJWgYCvaUDfuI_54fhnobEOG-ylosZcQETwCd_KiXjg/edit?usp=sharing]
** Wer macht Orga?
* Umbennung der Stammtische? (Henrik, 15 Minuten)
* Stand Chapter-Sponsoring (Michael in Vertretung von Alexios, 10 Minuten)
*Wer möchte im neuen Chapter mitwirken? (15 Minuten)
** Personen
** Wahl eines neuen Chapter Lead (aktuell Tobias)
** Kassenwart (aktuell Ingo)
** Sponsorliason (aktuell Alexios)
* Ort nächstes Chapter-Meeting
==OWASP Germany Chapter Meeting am 31.03.2017 in München==
* Uhrzeit: Montag, den 28.11.2016, 11-17h
* Ort: "Stockwerk" Oppelner Str. 5 in 82194 Gröbenzell bei München

'''Agenda mit Minutes:'''

* Begrüßung und kurze namentliche Vorstellung (Tobias)
* Stand der Finanzen, German Chapter Budget at OWASP. (Ingo)
* Chapter Sponsoring (Alexios)
** Tobias berichtet von Alexios’ (abwesend) Vorschlag, das Chapter Sponsoring einzustellen. Alexios wird gebeten ein Vorschlagspapier mit Pros und Cons und Alternativen zu erstellen. Dann Beschluß durch Board-Telko
* Info Barter Deal mit it-sa (Tobias)
** Abstimmung mit OWASP Global ist erfolgt.
* 2-Tagesworkshop zu Cheat Sheet (Boris, Jan, Hartwig)
** Boris (lead)+Jan+Hartwig: machen einen Vorschlag: dann in die Boardrunde, um Feedback einzusammeln. Achim auf cc halten, damit er auf dem Summit informiert ist.
* Stand der Dinge Cheat Sheet zur Orga eines German OWASP Days (Ingo)
** Ingo hat ein Excel-Sheet dazu erstellt mit ca 50 Punkten.
** Kann für den den GOD 2017 verwendet werden und soll dann auch überarbeitet werden.
** Ingo schickt einen Link auf das Google Drive Document
* GOD 2017 (Christian)
** Wir planen auf max 200 Teilnehmer (inkl. Staff, Speaker,...)
** Christoph stellt Informationen zu Lokationen und Terminen zusammen.
** Entscheidungs-telko im April (Termin, Lokation)
** Anerkunng als Bildungsurlaub möglich?
* Stand der Dinge owasp.de (Tobias)
** Owasp.de bei Tobias “privat” (whois, DNS), Kai nicht mehr Owner
** Owasp.de als redirect betreiben -> Henrik
* Orga-Tools Stammtische wie Meetup (jeder, der dazu beitragen kann)
* OWASP on the move Germany (Alexios, Torsten, Bastian)
** Bastian: zwei Anfragen, aber keiner wollte am Ende Geld.
** Stammtische wurden angefragt, aber kein Feedback
** Alexios verläßt die Runde der “OWASP on the move Germany” Organisatoren
** FAQ auf der Stammtischseite für “neuer Stammtisch” und “Wie nutze ich OontmG” -> Stammtisch CheatSheet
** Stammtische sollen eine Liste auf owasp.org mit potentiellen Vortragenden pflegen. Achim legt die Seite an (done! https://www.owasp.org/index.php/Germany/Speaker ).
* OWASP Germany Social Media und Webseite-Inhalte insb. Startseite (Tobias, Torsten)
** Tobias: Die German Chapter Seite ist nicht “freundlich für Einsteiger”.
** Torstens Vorschlag: Einstiegsseite soll zielgruppenspezifische Landingpage bieten (Informationssuchende, Stammtischeinteressierte, jemand der beitragen möchte,....)
** Torsten und Henrik machen einen Vorschlag
** Twitteraccount owasp.de liegt derzeit bei Dirk und Boris
* Anfrage Mithilfe bei Orga "Large OWASP AppSec Trainings" der Foundation (Achim, Tobias)
** Torsten berichtet von Erfahrungen vom Münchner Stammtisch.
** Austausch zwischen den Stammtischen ist gewünscht, soll aber nicht formalisiert werden (keine Mailingliste)
** Torsten schickt ein Template für eine Umfrage zu Stammtischen an.
* Orga-Tools Stammtische wie Meetup, Mailingliste (auch Board)
** Mails an owasp.de sollen in Zukunft bouncen (Tobias, done)
** Für Board soll zukünftig die board-germany Liste auf mailman genutzt werden.
** Liste eingerichtet, hidden Liste, Member sind informiert; Admin z.Zt. Achim und Bastian
** Meetup: der Stammtisch Karlsruhe nutzt Meetup mit dem OWASP.org Beta Programm.
** Tobias erfragt bei Kate, ob Meetup von owasp.org zur Verfügung gestellt wird (Anfrage gestellt)
** Falls meetup nicht weiter unterstützt ist: Xing hatte bereits einen kostenfreien Pro-Account angeboten.
* Wie kann das German Chapter beim Beantragen und Durchführen von OWASP-Projekten unterstützten?
** Konkreter Painpoint: Review-Prozeß für Juice-Shop (oder allgemein für Projekte) hängt. Bei weiteren konkreten Problemen: Mail an Tobias. Tobias eskaliert an OWASP global.
** Weiterer Painpoint: SecurityRAT. Henrik bittet Daniel, mit Tobias Kontakt aufzunehmen.
* Anfrage Mithilfe bei Orga "Large OWASP AppSec Trainings" der Foundation (Achim, Tobias)
** Generell bestehen Kontakte zu Universitäten.
** Tobias erfragt Rahmendaten: Zielpublikum, Dauer, Sponsored, ...? (Anfrage läuft)
* Summit:
** Achim berichtet über den kommenden Summit im Juni in der Nähe von London.
** Abstimmung: das Chapter sponsored die Entsendung von Achim und Björn zum Summit. Wenn ihre ** Kosten vom “Editors Fund” übernommen werden, dann spenden wir 3.600 EUR vom Chapter Budget an den Summit. Falls Ingo wg. Finanzen teilnimmt, dann werden seine Kosten von dieser Summe gedeckt (Rest Spende). Einstimmig bei zwei Enthaltungen.
* Sonstiges
** Henrik & Torsten: Kümmern sich um ein Konzept für freie (oder kostengünstige) Trainings am Tag nach dem GOD 2017 in Essen
** Martin greift den “German OWASP Summer of Code” wieder auf.
Nächstes Chaptermeeting am Vortag des GOD 2017.
** Ingo: die Konferenzwebseite für den GOD muss professioneller ausschauen. Björn schaut sich an, ob man die appsec.eu Seite auf github “kopieren” kann.
** Torsten fragt, ob das Chapter eine Leinwand (80 EUR) finanziert. Board stimmt zu (einstimmig bei einer Enthaltung.. Ingo pflegt eine “Assetliste”. Seite angelegt: https://www.owasp.org/index.php/Germany/Assets

==OWASP Germany Chapter Meeting am 28.11.2016 in Darmstadt==
Am Vortag des German OWASP Day 2016 fand ein Chapter-Meeting statt. [https://www.owasp.org/images/d/d2/Protokoll_OWASP_Chapter-Meeting_2016-11-26.pdf Protokoll]

* Uhrzeit: Montag, den 28.11.2016, 15-18h
* Ort: Seminarraum des CAST e.V., Rheinstraße 75, 64295 Darmstadt

'''Draft Agenda:'''

* Begrüßung und kurze namentliche Vorstellung (~10min)

* Finanzen (~60min)
** Ingo: Finanzübersicht und Status des Chapters
** Dirk: Wofür wollen wir Geld ausgeben? Handlungszwang durch Foundation 60min (http://lists.owasp.org/pipermail/owasp-leaders/2016-November/017448.html)
** Dirk: Finanzübersicht erarbeiten/abstimmen für 2017 (siehe Sheet)

* Wer möchte im neuen Chapter mitwirken? (~45min)
** Projekte (siehe Reiter 2 im Sheet)
*** Vorstellen und Hand heben
**** German Summer of Code (Martin/Bastian)
**** Studentensponsoring zum GOD
**** Laison/Fadenhalter für Außenauftritte/fremde Konferenzen (Boris' Bemerkung, 1.11.)
**** Achim: Wiki: eigenes in DE? Oder bleibt's beim Foundation-Wiki?
** Personen
** Wahl eines neuen Chapter Lead
** "Kassenwart"
** Sponsorliason

* Pause 10 min (ab Minute 115)

* Boris: Retrospektive des GOD 2015 (Finanzen, Besucher): ~10 Min

* Ingo: Kurze Zahlen zum GOD 2016 (Finanzen, Besucher) ~5 Min

* GOD 2017 (15min)
** Gibt's jemanden, der 2017 die nationale Konferenz organisieren will?
** lessons learnt 2016/5
*** Programm
*** Generell

* IT Ressourcen des German OWASP Chapters (10min)
** owasp.de: Domain, HTTP, SMTP
** vServer bei Strato: was ist drauf. Brauchen wir's? Wer macht was?
** Zertifikat

* Logo, Neuer Sponsoren-Vertrag (10min)

* Restpunkte, sollten wir noch Zeit haben
** ..

==OWASP Germany Chapter Meeting am 13.04.2015 in Frankfurt==
Das OWASP Germany Chapter Meeting fand am Montag, den [https://lists.owasp.org/pipermail/owasp-germany/2015-March/000758.html 14.03.2014 um 13.00 Uhr in Frankfurt] statt. Die Agenda, Informationen und Beschlüsse sind dem [https://www.owasp.org/images/b/b9/Protokoll_OWASP_Chapter-Meeting_2015-04-13.reformatiert.pdf Protokoll] zu entnehmen.

==OWASP Germany Chapter Meeting am 14.03.2014 in Frankfurt==
Das OWASP Germany Chapter Meeting fand Freitag, 14.03.2014 um 13.30 Uhr in Frankfurt statt.

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
Ort: Gewerkschaftshaus Willi-Richter-Saal Wilhelm-Leuschner-Straße 69-77 60329 Frankfurt

Hiermit laden wir Euch nochmals herzlich zum Chapter Meeting des OWASP German Chapters ein.

Wer sich aktiv in die Gestaltung des Chapters einbringen möchte, ist hier genau richtig. Die Chapter-Meetings richten sich an all diejenigen, die aktiv am Chapter geschehen teilhaben möchten. Wir stellen die Weichen, um OWASP in Deutschland noch präsenter zu machen und freuen uns auf Deinen Beitrag! OWASP lebt von der Community, von der aktiven Beteiligung.
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |
==== Invitation ====

|-
| style="vertical-align:top; padding-right:0.5em;" |
==== Agenda ====
* 13.30h Tobias Glemser, OWASP German Chapter Lead: Warme Willkommensworte und Rückblick auf Chapter-Aktivitäten 2013 (15 min)
* 13:45h "You are known by the company you keep: Introducing a secure software vendor exchange program" Chris Wysopal, CTO, Veracode (15 min)
* 14.00h "Password Storage: Adobe schlägt Forbes und OWASP" Arnim Rupp, LH Systems (15min)
* 14:15h Dirk Wetter, OWASP German Chapter Board Member und AppSec Research Conference Chair: Rückblick OWASP AppSec Research 2013 und Ausblick OWASP Day 2014 (45 min)
* 15:00h Pause (15 min)
* 15:15h "25 Million Flows Later - Large-scale Detection of DOM-based XSS", Martin Johns SAP AG (45 min)
* 16:00h Tobias Glemser, OWASP German Chapter Lead:Verwendung der zur Verfügung stehenden Geldmittel im Chapter (45 min)
* 16:45h Tobias Glemser, OWASP German Chapter Lead: Chapter Board Wahl (wie 2013 entschieden alle Posten) (15 min)
* 17.00h offene Runde: OWASP Germany im kommenden Jahr (30 min)
* Gegen 17.30 Uhr Ende und wer mag im Anschluss noch einen Absacker im Ristorante Vitavera

[https://reg.owasp.de Meldet Euch bitte hier an].

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Agenda ====
|-

| style="vertical-align:top; padding-right:0.5em;" |
==== Ergebnisse / Protokoll ====
* [[Media:OWASP_Chapter_Meeting_2014-03-14.pdf‎|→ Vortrag]] Tobias Glemser, OWASP German Chapter Lead: Warme Willkommensworte und Rückblick auf Chapter-Aktivitäten 2013
* Vortrag "You are known by the company you keep: Introducing a secure software vendor exchange program" Chris Wysopal, CTO, Veracode
* [[Media:Password_Storage.pdf‎|→ Vortrag]] "Password Storage: Adobe schlägt Forbes und OWASP" Arnim Rupp, LH Systems
* 14:15h Dirk Wetter, OWASP German Chapter Board Member und AppSec Research Conference Chair: Rückblick OWASP AppSec Research 2013 und Ausblick OWASP Day 2014 Es wurden grundsätzliche Diskussionen geführt.
** Nach dem Rückblick über die äußerst gelungene AppSec in Hamburg wurden grundsätzliche Diskussionen geführt, wie wir 2014 unsere Konferenz ausrichten.
** ca November 2014 (Kollision mit BeNeLux, it-sa etc. vermeiden)
** CfP müsste bis Mai dann raus . Bis dahin muss Stadt und Ort gefixt sein
** Format eher wieder 1 Tag, 2 Tracks
** Freier Eintritt, komplette Finanzierung durch Sponsoren wird defavorisiert, da befürchtet wird, dass Sponsoren das schwer zu verkaufen ist.
** Problem des Billings/Rechnungsstellung. Viel Aufwand derzeit => Factoring Firma finden
** Wo: Hotel oder Uni?
*** Uni: keine sinnvollen Vorschläge beim Chapter Meeting
*** Hotels: Dresden, Hamburg, ...
** Ort ist relativ egal, Kriterien:
*** ICE-Bahnhof
*** Etwas Attraktivität kann nicht schaden
*** Etablierter Stammtisch dort wäre von Vorteil
*** idealerweise jemand mit lokalen Kenntnissen vor Ort
** Wer: Wir alle auf vielen Schultern oder ein Dienstleister
*** Auch in letztem Fall bleibt Arbeit bei uns hängen.
*** Dirk hat den Orga-Hut auf. Tobias Sponsoren-Hut, Martin PK-Hut.
** Ausrichtung der Konferenz:
*** Lassen wie es ist
*** Mehr an die Entwickler ran
*** Mehr an die Entscheider ran
*** Mehr an die Studenten ran
*** Mehr auch an Hobbyleute ran
*** => offen
**Für 2015: Beschluss Nähe zu Karlsruhe Entwicklertagen zu finden. Ohne Gegenstimme angenommen.

* Torsten Gigler stellte [https://www.owasp.org/index.php/Category:OWASP_Top_10_fuer_Entwickler Top10 für Entwickler] vor
* Anfrage aus Schottland wegen Sponsoring der Unkosten eines Vortrags von Mario Heidereich. Der Chapterlead wurde entsprechend auf OWASP on the Move verwiesen. Falls das nicht klappt, sponsort das deutsche Chapter die Reise.
* Auftrag für Konferenzen an Tobias Glemser Bücher und Infomaterial von OWASP zu kaufen, um es kostenfrei verteilen zu können.
* [[Media:OWASP domxss.pdf|→ Vortrag]] "25 Million Flows Later - Large-scale Detection of DOM-based XSS", Martin Johns SAP AG (45 min)
* Da die Diskussion um den German OWASP Day das Zeitkontingent gesprent hat, wurden die folgenden beiden Agendapunkte auf das Chapter Meeting 02/2014 geschoben.
** OWASP German Chapter Lead:Verwendung der zur Verfügung stehenden Geldmittel im Chapter (45 min)
** OWASP German Chapter Lead: Chapter Board Wahl (wie 2013 entschieden alle Posten) (15 min)
* Mit leckerem Essen im Ristorante Vitavera beendeten wir das Chapter Meeting.

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Protocol ====
(see German text on left)
|}

==OWASP Germany Chapter Meeting am 17.05.2013 in Frankfurt==

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
Das OWASP Germany Chapter Meeting fand am 17.05.2013 um 14 Uhr in Frankfurt statt.

Ort: Saalbau Gallus, Frankenallee 111, 60326 Frankfurt am Main
[[http://maps.google.de/maps?q=Frankenallee+111,+60326+Frankfurt+am+Main&hl=de&sll=50.104389,8.642389&sspn=0.002883,0.010375&vpsrc=0 Karte]] (Wenige Meter von der S-Bahnstation Galluswarte entfernt, ein Halt von Frankfurt Hbf)
----
==== Einladung ====
Hiermit laden wir Euch nochmals herzlich zum Chapter Meeting des OWASP German Chapters ein.

Wer sich aktiv in die Gestaltung des Chapters einbringen möchte, ist hier genau richtig. Die Chapter-Meetings richten sich an all diejenigen, die aktiv am Chapter geschehen teilhaben möchten. Wir stellen die Weichen, um OWASP in Deutschland noch präsenter zu machen und freuen uns auf Deinen Beitrag! OWASP lebt von der Community, von der aktiven Beteiligung.

[https://reg.owasp.de Meldet Euch bitte hier an]. Bitte!

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |
|-
| style="vertical-align:top;" |

==== Agenda ====

* 14.00h Tobias Glemser, OWASP German Chapter Lead (30 min): Warme Willkommensworte und Rückblick auf Chapter-Aktivitäten 2012
* 14:30h Laurent Levi von Checkmarx (45 min): DevOps and Security: It's Happening. Right Now.
* 15:15h Dirk Wetter, OWASP German Chapter Board Member und AppSec EU Research Conference Chair (30 min): Rückblick OWASP Day 2012 und Ausblick AppSec EU Research 2013
* 15:45h Pause (15 min)
* 16.00h Jim Manico, OWASP Board Member (45 min): Top Ten Web Defenses
* 16.45h Torsten Gigler, OWASP German Chapter (15 min): [https://www.owasp.org/index.php/OWASP_Top_10_Fuer_Entwickler_Project OWASP Top 10 fuer Entwickler]
* 17.00h Tobias Glemser, OWASP German Chapter Lead (15 min): Chapter Board Wahl
* 17.15h offene Runde (30 min): OWASP Germany im kommenden Jahr
* Gegen 17.30 Uhr Ende und wer mag im Anschluss noch einen Absacker im benachbarten Griechen.

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |

==== Agenda ====
* 14.00h Tobias Glemser, OWASP German Chapter Lead (30 min): Welcome and Review of Chapter Activities 2012
* 14:30h Laurent Levi von Checkmarx (45 min): DevOps and Security: It's Happening. Right Now.
* 15:15h Dirk Wetter, OWASP German Chapter Board Member und AppSec EU Research Conference Chair (30 min): Review OWASP Day 2012 and Outlook AppSec EU Research 2013
* 15:45h Break (15 min)
* 16.00h Jim Manico, OWASP Board Member (45 min): Top Ten Web Defenses
* 16.45h Torsten Gigler, OWASP German Chapter (15 min): [https://www.owasp.org/index.php/OWASP_Top_10_Fuer_Entwickler_Project OWASP Top 10 fuer Entwickler]
* 17.00h Tobias Glemser, OWASP German Chapter (15 min): Chapter Board Election
* 17.00h offene Runde (30 min): OWASP Germany next year
* About 17.30h we will be finished. Who's interested in joining a get together in a greek restaurant nearby is asked to note
|-
| style="vertical-align:top; padding-right:0.5em;" |

==== Ergebnisse / Protokoll ====

* Begrüßung und Bericht durch Tobias [ [[Media:German_Chapter_Meeting_2013_Bericht_Chapter.pdf‎|→ Folien]] ]
* Talk: Laurent Levi, Checkmarx
* Kurze Vorstellungsrunde
* Talk: Torsten Gigler - OWASP Top 10 für Entwickler [ [[Media:German_Chapter_Meeting_2013_OWASP_Top_10_fuer_Entwickler.pdf‎|→ Folien]] ]
* Talk: Dirk Wetter - AppSec Research 2013
** GOD 2012
*** Rückblick auf GOD 2012 (German OWASP Day)
*** Fachlich und finanziell ein voller Erfolg
** Dev(i|e)l 2013
*** Ausblick auf AppSec Research 2013
*** Konferenz verspricht viel
*** Details unter https://appsec.eu
* Talk: Jim Manico - Top Ten Web Defenses [ [http://www.slideshare.net/JimManico/top-ten-defenses-v10 → Folien] ]
* Organisatorisches
** Chapter Lead: Tobias Glemser
** Board 2013:
*** Dirk Wetter
*** Martin Johns
*** Achim Hoffmann
*** Emin Tatlı
*** Kai Jendrian
** Entscheidung: Neubesetzung des Boards jährlich
* OWASP Day 2014
* Ortsauswahl durch Call for Venue
* Vorschläge vor Ort:
** Köln
** Karlsruhe
* Vorschläge Projekte
** Übersetzug OpenSAMM
** Übersetzung der Top 10 nach finaler Veröffentlichung (Trigger durch Kai)
* Sonstiges:
** Treffen des OWASP Chapters im Q4 mit Vortrag
** Bessere Präsenz der OWASP in andere Konferenzen

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |

==== Protocol ====
tbd
|

|-
! colspan="2" style="vertical-align:top;" align="left" |
==== Abstracts/Bios ====
|-
| colspan="2" |
===== DevOps and Security: It's Happening. Right Now. =====
How do you integrate security within a Continuous Deployment (CD) environment - where every 5 minutes a feature, an enhancement, or a bug fix needs to be released? Traditional application security tools which require lengthy periods of configuration, tuning and application learning have become irrelevant in these fast-pace environments. Yet, falling back only on the secure coding practices of the developer cannot be tolerated.
Secure coding requires a new approach where security tools become part of the development environment – and eliminate any unnecessary code analysis overhead. By collaborating with development teams, understanding their needs and requirements, you can pave the way to a secure deployment in minutes. Steps include:
* Re-evaluate existing security tools and consider their integration within a CD environment
* Deliver a secured development framework and enforce its usage
* Pinpoint precise security code flaws and provide optimal fix recommendations

Laurent Levi
Laurent is an experienced security professional with extensive technical knowledge in all aspects of application security. Over the last 6 years, Laurent has been managing Checkmarx's professional services team and prior to that led the code audit team of Lexsi in France. Laurent has extensive software development experience and has a post graduate degree in AI from Paris VI Université Pierre et Marie Curie.

===== Top Ten Web Defenses =====
We cannot “firewall” or “patch” our way to secure websites. In the past, security professionals thought firewalls, Secure Sockets Layer (SSL), patching, and privacy policies were enough. Today, however, these methods are outdated and ineffective, as attacks on prominent, well-protected websites are occurring every day. Citigroup, PBS, Sega, Nintendo, Gawker, AT&T, the CIA, the US Senate, NASA, Nasdaq, the NYSE, Zynga, and thousands of others have something in common – all have had websites compromised in the last year. No company or industry is immune. Programmers need to learn to build websites differently. This talk will review the top coding techniques developers need to master in order to build a low-risk, high-security web application.

Jim Manico is the VP of Security Architecture for WhiteHat Security, a web security firm. He authors and delivers developer security awareness training for WhiteHat Security and has a background as a software developer and architect. Jim is also a global board member for the OWASP foundation. He manages and participates in several OWASP projects, including the OWASP cheat sheet series and the OWASP podcast series.
----
|}

==OWASP Germany Chapter Meeting am 03.02.2012 in Frankfurt==

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
OWASP Germany Chapter Meeting fand am 03.02.2012 in Frankfurt statt.

Ort: Saalbau Gallus, Frankenallee 111, 60326 Frankfurt am Main
[[http://maps.google.de/maps?q=Frankenallee+111,+60326+Frankfurt+am+Main&hl=de&sll=50.104389,8.642389&sspn=0.002883,0.010375&vpsrc=0 Karte]] (Wenige Meter von der S-Bahnstation Galluswarte entfernt, ein Halt von
Frankfurt Hbf).

----
==== Einladung ====
Hiermit laden wir Euch nochmals herzlich zum ersten Chapter Meeting 2012 des OWASP German Chapters ein.
Wer sich aktiv in die Gestaltung des Chapters einbringen möchte, ist hier genau richtig. Wir stellen die Weichen, um OWASP in Deutschland noch präsenter zu machen und freuen uns auf Deinen Beitrag! OWASP lebt von der Community, von der aktiven Beteiligung.
Nur aufgrund der vielen Köpfe sind wir dort, wo wir heute stehen. Also los! Wir würden uns insbesondere freuen, mehr von Euch aus dem edukativen Bereich (ja, Ihr liebe Studenten!) bei uns willkommen zu heißen.

Zur besseren Planung gebt bitte kurz per Mail Bescheid, wenn Ihr teilnehmt. Danke!

Plant auch danach noch gerne etwas Zeit ein, wir lassen den Tag bei einem gemeinsamen Essen und vielleicht einem Getränk nachwirken.

Viele Grüße und bis zum 03.02. in Frankfurt, wir freuen uns auf Euch.
OWASP German Chapter
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |

==== Invitation ====

|-
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |
|-
|
==== Agenda ====

* Georg: Begrüßung durch Georg Heß, German Board Leader
* Kai: Vortrag "OWASP Top 10 auf Deutsch - Fallstricke und Überraschungen"
* Kai: Fragen und Antworten zu "OWASP Top 10 auf Deutsch"
* Boris: Vortrag "Das neue OWASP Chapter Handbook - wie wir weltweit arbeiten"
* Boris: Fragen und Antworten zu "OWASP Chapter Handbook"
* Dirk: Rückblick OWASP Day 2011, Ausblick 2012
* Tobias: Rückblick it-sa 2011, Ausblick 2012
* Dirk: AppSec Research EU: 2013 in Deutschland?
* Boris: Firmen-Chapter-Support (Kosten, Vorteile, Ablauf)
* Georg: Aktionen zur Mitgliedergewinnung
* Bruce: Möglichkeiten zur Intensivierung der Pressearbeit
* Boris: Zusammenarbeit mit dem BSI
* Tobias: Themen für Projekte 2012
* Georg: kurzer Abriss zu OWASP-Zertifizierungen
* Achim: Definition Rahmenbedingungen Jobseite
* Achim: Administratoren für owasp.org
* Georg: Wahl Leader und Board OWASP German Chapter

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Agenda ====
|-

| style="vertical-align:top; padding-right:0.5em;" |
==== Ergebnisse / Protokoll ====
Das Protokoll des Chapter-Meetings ist [[Media:Chapter-Germany-20120203-Protokoll.zip|hier]] zu finden; das Passwort ist geheim ;-)

Wichtige Entscheidungen in Kürze:
* Tobias als Chapter Leader gewählt
* Wahl des Boards: Bruce, Dirk, Emin, Martin, Achim
* German OWASP Day 2012 im November in München
** 1,5 - 2 Tage, dieses Jahr keine kommerziellen Trainings
** CfP-Kommitee geführt von Dirk, Martin
** es wird eine Teilnahme/Anwesenheits-Bescheinigung geben
* OWASP-Stand auf it.sa 2012 in Nürnberg
* Firmensponsoring wird ermöglicht: local sponsor ca. 500,-/Jahr
* Zusammenarbeit mit BSI wird intensiviert
* es wird (vorerst) keine eigene deutsche Jobseite unter owasp.org geben; bitte [[OWASP_Jobs]] benutzen
...
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Protocol ====
Meetings minutes can be found [[Media:Chapter-Germany-20120203-Protokoll.zip|here]] . Note that it is in German.

Most important:
* Tobias as Chapter Leader elected
* Boards Members: Bruce, Dirk, Emin, Martin, Achim
* German OWASP Day 2012 will be in November in München
** 1,5 - 2 days, no trainings sessions this year
** CfP Commitee lead by Dirk, Martin
* OWASP will be present at it.sa 2012 in Nürnberg
* company sponsoring possible: local sponsor ca. 500,-/anno
* co-operation and collaboration with BSI will be initiated
* currently no local job page within owasp.org
...
|}

==Chapter Board Meeting am 19.8.2011 in München==

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
==== Agenda ====
* Selbstverständnis Chapter – die Zukunft
* OWASP Germany in „das Bewusstsein“ bringen
* Vereinsgründung ja/nein
* Geldverwaltung/Rechnungen
* Firmen als Chapter Member
* IT-SA 2011
* Board (Kommunikation. Rollen, Wahl, Termin Chapter Meeting)
* Stand der Dinge: Flyer
* OWASP Day

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Agenda ====
|-

| style="vertical-align:top; padding-right:0.5em;" |
==== Ergebnisse / Protokoll ====
Das Protokoll des Board-Meetings ist [[Media:Chapter-Germany-20110819-Protokoll.zip|hier]] zu finden; das Passwort ist geheim ;-)

Wichtige Entscheidungen in Kürze:
* OWASP Chapter Germany stellt auf der it.sa in Nürnberg aus, 11.10. - 13.10.2011
* es wird eine ''Firmen-Mitgliedschaft'' aka ''Chapter Supporter'' angeboten; Näheres in kürze auf der Webseite
* nächstes Chapter Meeting am 20.01.2012 oder 03.02.2012 in Frankfurt
...

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |

==== Protocol ====
The protocol of the Chapter Germany Board Meetings can be found [[Media:Chapter-Germany-20110819-Protokoll.zip|here]] . Note that it is in German.

Most important:
* OWASP Chapter Germany will be at it.sa in Nuremberg, 11.10. - 13.10.2011
* ''Chapter Supporter'' will be possible for companies; details comming soon
* next Chapter Meeting 20.01.2012 or 03.02.2012 in Frankfurt
...
|}

== Chapter Meeting am 20.5.2010 in München ==

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
==== Agenda ====
* 14:00 Allgemeine Begrüßungs- und Vorstellungsrunde
* 14:15 Bruce Sams: „Strategie und Kosten für ein SDLC“
* 14:50 Diskussion
* 15:10 Boris Hemkemeier: „Two Factors Are Not Enough“
* 16:05 Diskussion (geht nahtlos über in die)
* 16:15 Kaffeepause
* 16:35 Vortrag mit Diskussion „Organisatorisches im Chapter“
* 17:15 Beginn der Beschlussfassungen und Wahlen
* 17:25 Vortrag mit Diskussion „OWASP Germany Conference 2010“

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |
==== Agenda ====
|-

| style="vertical-align:top; padding-right:0.5em;" |
==== Ergebnisse / Protokoll ====
===== Organisatorisches im Chapter =====

Die Wesentlichen Punkte, die umgesetzt oder verbessert werden sollen:

* Mehr Außenwirkung durch Public Relations, bessere Pressearbeit / Pressemitteilungen und Einführung und Pflege einer Sprecher- und Rednerliste (um z.B. bei öffentlichen Veranstaltungen OWASP adäquat vorstellen zu können)
* Gepflegtes Wiki sowohl für Außendarstellung als auch als Plattform für die interne Kommunikation
* Einführung von direkten Ansprechpartner für diverse Branchen

Es folgt eine kurze Diskussion, wie dies effektiv umgesetzt werden kann. Es wird ein Vorschlag durch konkludentes Handeln angenommen: Es soll ein Chapter Board bestehend aus 5 Mitgliedern gewählt werden. Jedes dieser Mitglieder bekommt eine oder mehrere dedizierte Aufgabe(n), um die oben genannten Punkte abzudecken und umzusetzen. Es folgt ein Aufruf, sich für eine entsprechende Wahl zur Verfügung zu stellen. Es soll ebenso der neue Chapter Leader gewählt werden. Da sich nur ein Kandidat für nur einen Posten zur Wahl für die nächsten zwei Jahre zur Verfügung stellt, wird folgendes entschieden: Bei Abstimmungen hat jedes Mitglied des Boards genau eine Stimme, während der Chapter Leader zwei Stimmen hat. So soll zukünftig bei Abstimmungen eine Stimmengleichheit verhindert werden.

===== Beschluss zur Anzahl der Chapter Leaders =====

Es wird von den 12 Teilnehmern des Chapter Meetings einstimmig beschlossen, das zukünftig das Chapter Germany (analog zu den meisten anderen OWASP Chapters) nur noch einen Chapter Leader hat.

===== Wahl des Chapter Leaders =====

''Georg Heß'' kandidiert als Chapter Leader und wird mit 11 von 12 Stimmen bei einer Enthaltung zum neuen Chapter Leader des OWASP Chapters Germany gewählt.

===== Beschluss zur zukünftigen Zusammensetzung des Boards =====

Einstimmig wird beschlossen, dass das zukünftige Board aus 5 Mitgliedern besteht. Diese sollen die Aufgaben wie in der Diskussion beschrieben wahr nehmen.

===== Wahl des Boards =====

Es kandidieren ''Tobias Glemser, Boris Hemkemeier, Achim Hoffmann, Uli Petersen und Bruce Sams'' für die 5 Sitze im Board. Alle werden einstimmig gewählt.

Alle Gewählten nehmen die Wahl an.

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Protocol ====
Not yet available in English, sorry.
|}

== OWASP German Chapter Meeting 10.07.2009, Mannheim ==

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
==== Einladaung ====
;Summary:We will start with three interesting fresh talks. The following topics are the next activities of the OWASP German Chapter: the new [http://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative "Stammtisch Initiative"] and the planning of the [http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference OWASP AppSec Germany 2009] at Nuremberg.

;Location:Aula of the [http://www.hs-mannheim.de Hochschule Mannheim], Building 3, Paul-Wittsack-Strasse 10, Mannheim ([http://maps.google.de/maps?f=d&source=s_d&saddr=Mannheim+Hbf&daddr=49.471303,8.48372&geocode=Fbr-8gIduTmBAA%3B&hl=de&mra=dme&mrcr=0&mrsp=1&sz=15&sll=49.474885,8.474715&sspn=0.015532,0.050254&ie=UTF8&z=15 Google Maps]). Please download the [http://www.hs-mannheim.de/campus/grafik/campusplan_legende_web.pdf campus map].
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |
==== Invitation ====

|-
| style="vertical-align:top; padding-right:0.5em;" |
==== Agenda ====
* 12:00 - 13:00 : Lunch (optional, please send an email to [mailto:Georg.Hess@artofdefence.com?subject=OWASP%20Chapter%20Meeting%20Lunch%20registration Georg Heß] to register for lunch), meeting point for the lunch is at the Aula in Building 3
* 13:15 - 13:30 : Opening by our host Prof. Rainer Gerten (German)
* 13:30 - 14:30 : OWASP Educational Services - Teaching Security!, Martin Knobloch, Member of OWASP Global Education Committee (English)
* 14:30 - 15:00 : Vorstellung und aktueller Stand des OWASP Germany Projekts "Best Practice: Projektierung von Sicherheitsprüfungen von Web Applikationen", N.N., Projekt-Mitarbeiter (German)
* 15:00 - 15:45 : Cloud Application Security - Chancen und Risiken - Einige Ansatzpunkte zum Thema, Georg Hess (German)
* 15:45 - 16:15 : Coffee
* 16:15 - 17:00 : Organisational topics of the OWASP German Chapter (German)
** OWASP Stammtisch Initiative
** Outlook and organisational tasks for the 2nd [[OWASP Germany 2009 Conference]]
* nach 17:00 : Come together (Any ideas for a near pub??)

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Agenda ====
|-

| style="vertical-align:top; padding-right:0.5em;" |
==== Ergebnisse / Protokoll ====

===== OWASP AppSec 2010 =====

Es folgt ein kurzer historischer Rückblick der Veranstaltungsorte: 2008 im Hotel in Frankfurt, 2009 auf der Messe it-sa in Nürnberg. Kurze Diskussion pro und contra Hotel vs. Messe vs. Hochschul-Location.

* Es soll geprüft werden, ob die diesjährige '''„OWASP Germany Conference 2010“''' wieder in Kooperation mit der Messe Nürnberg / it-sa durchgeführt werden kann (z.B. am 20.10.2010).
* Weiterhin ist ein Konferenztag mit '''zwei verschiedenen Tracks (Technik und Management)''' angedacht.
* Um die inhaltliche Gestaltung voranzutreiben wird ein '''Programm-Komitee''' (initial bestehend aus ''Bruce Sams, Kai Jendrian, Boris Hemkemeier und Martin Johns'') ins Leben gerufen, das alsbald den '''CFP''' starten soll.

Gegen 18:15 löst sich das OWASP German Chapter Meeting auf und geht nahtlos in den 12. „Happy Anniversary!“ OWASP Stammtisch München über.

Weitere Ergebnisse sind [https://lists.owasp.org/pipermail/owasp-germany/2009-July/000086.html in den Minutes hier] zu finden

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Protocol ====
Minutes: [https://lists.owasp.org/pipermail/owasp-germany/2009-July/000086.html See the list archive for the minutes.]
|}

== OWASP German Chapter Meeting - February 20th, 2008 in Darmstadt ==

;Date: February 20th, 2008, 11:00-16:15
;Location: The next chapter meeting will be hosted at CAST in Darmstadt.
: CAST (http://www.cast-forum.de<nowiki/>)''' Fraunhoferstr. 5 (vormals Rundeturmstr. 6) - EG Room 072 - [http://www.cast-forum.de/workshops/anfahrt.html Anfahrt]'''

;Agenda: This time the focus is on technical presentations and discussion.
: Technical presentation slots will consist of 20-30 minute presentation and 15 minute discussion.
# (11:00 - 11:15) Welcome, Introduction and Administrativia
# (11:15 - 11:30) Vorstellung von CAST (Dr. Heinemann)
# (11:30 - 11:45) Short OWASP organisation introduction and update (Tobias Gondrom)
# (11:45 - 12:30) First technical presentation "Best Practices beim Einsatz einer Web Application Firewall 1.0" (Slides: [http://www.owasp.org/images/1/1b/WAF-Paper.pdf PDF]) (Alexander Meisel)
# (12:30 - 13:15) Break
# (13:15 - 14:00) Second technical presentation "Defending against Web Application DoS Attacks" (Maximilian Dermann)
# (14:00 - 14:45) 20-Minutes Talks (15 Min Presentation + 5-10 Min Discuss)
: * "Input validation in ASP.NET -- tips, tricks & pitfalls" (Boris Hemkemeier)
: * "Managing of extremely large Web Application Firewall Installations" (Slides: [http://www.owasp.org/images/f/f6/VeryLargeWAFs.pdf PDF]) (Alexander Meisel)
# (14:45 - 15:00) Coffee Break
# (15:00 - 15:45) Fourth technical presentation "Secure Coding and Development Guidelines (part of CLASP)" (Tobias)
# (15:45 - 16:00) Wrap-up and outlook

== Chapter Meeting on September 7th 2007 in Frankfurt/Main ==

After two years of absence the German Chapter has been restarted. The chapter meeting was on September 7th 2007, 15:00 - 18:00.

This first chapter meeting had as its main goal the re-initiation of the German chapter and to start work on projects. Talks and presentations are secondary and will receive more focus at subsequent meetings.

Read meeting notes/minutes [https://lists.owasp.org/pipermail/owasp-germany/2007-September/000038.html here].

----
[https://www.owasp.org/index.php?title=Germany/Chapter_Meetings <top>] [[Germany|<zurück>]] [[Germany|<Germany>]]

[[Category:Germany]]
[[Category:Europe]]

File:2018-04-11 German Chapter Meeting Minutes.pdf

2018-04-23T19:44:25Z

Bohem: Minutes of the German Chapter Meeting 11th April, 2018 (German)

Minutes of the German Chapter Meeting 11th April, 2018 (German)

Germany/Cheat Sheet Workshop

2017-08-28T18:47:02Z

Bohem: Update: looking for two substitutes

__NOTOC__

== UPDATE (28.08.2017): ==
We are still looking for two substiute substiutes due to two cancelations. If you want to contribute to cheat sheats about DDOS or REST, JWT, then please '''apply now''' using the easychair link below.

== Join the 1st OWASP Cheat Sheet Workshop with Jim Manico hosted by the German Chapter ==

The German OWASP Chapter will fund a CS workshop to improve existing CS or to develop new ones. Two days of talks, discussions and CS writing are waiting for you. We are looking for a sound mix of experts and volunteers, which want to maintain a CS for a longer time.

'''The format:''' two days, maximal 20 people, we envisioned half of them to be experts (research or practitioners) and the other half to be enthusiatic helpers (preferably from the user group of the cheat sheets). The experts can give talks or moderate discussions and brainstormings for the CS at the first day. The second day is dedicated to writing and peer-reviewing of the results.

'''The topics:''' two topics selected (one for each group of 10 people) from: CSP, Password Handling, TLS Configuration, JSON Web Token, DoS Protection, Privacy

'''The venue:''' we will meet at the conference hotel Collegium Glashütten near Frankfurt, http://www.collegium-glashuetten.de/en/. There will be shuttle transfers from and to Frankfurt main station and Frankfurt Airport to the venue.

'''The schedule:''' the workshop runs at 11./12.09.2017 (Monday and Tuesday). The attendees should arrive at Sunday afternoon. The workshop closes at Tuesday 16:00.

'''The funding:''' the German Chapter will fund the venue (Sunday evening until Tuesday afternoon), including rooms and full board. Attendees can apply for a travel allowances up to 400 EUR.

'''How to apply?''' Apply here to participate: https://easychair.org/conferences/?conf=gocheats17. Please tell us your topic of interest and (optional) your background in this area. The Call for Participation is expected to close at 16.07.2017. The Program Committee (Jim Manico, Martin Knobloch, Martin Johns) will draw the attendees, if there should be more applications than seats.

----
(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Europe]]

Germany/Cheat Sheet Workshop

2017-06-19T21:26:16Z

Bohem: Application deadline now 16.07.2017. Easychair page will be published soon.

__NOTOC__

== Join the 1st OWASP Cheat Sheet Workshop with Jim Manico hosted by the German Chapter ==

The German OWASP Chapter will fund a CS workshop to improve existing CS or to develop new ones. Two days of talks, discussions and CS writing are waiting for you. We are looking for a sound mix of experts and volunteers, which want to maintain a CS for a longer time.

'''The format:''' two days, maximal 20 people, half of them should be experts (research or practitioners). The experts can give talks or moderate discussions and brainstormings for the CS at the first day. The second day is dedicated to writing and peer-reviewing of the results.

'''The topics:''' two topics selected (one for each group of 10 people) from: CSP, Password Handling, TLS Configuration, JSON Web Token, OAuth/OpenID Connect, Multi-Factor Authentication, DoS Protection, Privacy Enhancing Technologies

'''The venue:''' we will meet at the conference hotel Collegium Glashütten near Frankfurt, http://www.collegium-glashuetten.de/en/. There will be shuttle transfers from and to Frankfurt main station and Frankfurt Airport to the venue.

'''The schedule:''' the workshop runs at 11./12.09.2017 (Monday and Tuesday). The attendees should arrive at Sunday afternoon. The workshop closes at Tuesday 16:00.

'''The funding:''' the German Chapter will fund the venue (Sunday evening until Tuesday afternoon), including rooms and full board. Attendees can apply for a travel allowances up to 400 EUR.

'''How to apply?''' There will be an an Easychair page for the application process (coming soon!!). Please tell us your topic of interest and your background in this area. The Call for Participation is expected to close at 16.07.2017. The Program Committee (Jim Manico, Martin Knobloch, Martin Johns) will draw the attendees, if there should be more applications than seats.

----
(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Europe]]

Germany/Chapter Meetings

2017-05-07T21:42:08Z

Bohem: /* OWASP Germany Chapter Meeting am 31.03.2017 in München */

__NOTOC__

[[Image:owasp_germany_logo.png|right]]

{| style="background-color:inherit;border-bottom:1px solid black" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
In Deutschland haben wir als organisatorisches Dach ein Chapter, im Rahmen dessen alle Aktivitäten wie Konferenzen etc. stattfinden. Die Stammtische sind keine eigenständigen Chapter.

Anders als die meisten OWASP Chapter auf der Welt, haben wir daher bislang Chapter Meetings für Treffen eher organisatorischer Natur gehabt, bei denen es am Rande auch Vorträge gab. Die Chapter-Meetings im globalen Sinne waren/sind unsere jährliche Konferenzen (German OWASP Day).

=== Chapter Meetings ===
Hier sind Informationen zu den Treffen des German Chapter -- Chapter Meeting -- zu finden. Die Agenda, Einladung sowie die erarbeiteten Ergebnisse werden hier veröffentlicht.

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |

=== Chapter Meetings ===
This page contains everything you need to know about Chapter Meetings of the OWASP German Chapter. Please note that in Germany we have the so-called "Stammtische" in the metropolitan areas which serve the purpose of other chapters world-wide. '''The''' -- we only have one -- German Chapter is our roof organisation which helps us to promote OWASP and it's goals within Germany.

Please note, most information is in German only.
|}

==OWASP Germany Chapter Meeting am 31.03.2017 in München==
* Uhrzeit: Montag, den 28.11.2016, 11-17h
* Ort: "Stockwerk" Oppelner Str. 5 in 82194 Gröbenzell bei München

'''Agenda mit Minutes:'''

* Begrüßung und kurze namentliche Vorstellung (Tobias)
* Stand der Finanzen, German Chapter Budget at OWASP. (Ingo)
* Chapter Sponsoring (Alexios)
** Tobias berichtet von Alexios’ (abwesend) Vorschlag, das Chapter Sponsoring einzustellen. Alexios wird gebeten ein Vorschlagspapier mit Pros und Cons und Alternativen zu erstellen. Dann Beschluß durch Board-Telko
* Info Barter Deal mit it-sa (Tobias)
** Abstimmung mit OWASP Global ist erfolgt.
* 2-Tagesworkshop zu Cheat Sheet (Boris, Jan, Hartwig)
** Boris (lead)+Jan+Hartwig: machen einen Vorschlag: dann in die Boardrunde, um Feedback einzusammeln. Achim auf cc halten, damit er auf dem Summit informiert ist.
* Stand der Dinge Cheat Sheet zur Orga eines German OWASP Days (Ingo)
** Ingo hat ein Excel-Sheet dazu erstellt mit ca 50 Punkten.
** Kann für den den GOD 2017 verwendet werden und soll dann auch überarbeitet werden.
** Ingo schickt einen Link auf das Google Drive Document
* GOD 2017 (Christian)
** Wir planen auf max 200 Teilnehmer (inkl. Staff, Speaker,...)
** Christoph stellt Informationen zu Lokationen und Terminen zusammen.
** Entscheidungs-telko im April (Termin, Lokation)
** Anerkunng als Bildungsurlaub möglich?
* Stand der Dinge owasp.de (Tobias)
** Owasp.de bei Tobias “privat” (whois, DNS), Kai nicht mehr Owner
** Owasp.de als redirect betreiben -> Henrik
* Orga-Tools Stammtische wie Meetup (jeder, der dazu beitragen kann)
* OWASP on the move Germany (Alexios, Torsten, Bastian)
** Bastian: zwei Anfragen, aber keiner wollte am Ende Geld.
** Stammtische wurden angefragt, aber kein Feedback
** Alexios verläßt die Runde der “OWASP on the move Germany” Organisatoren
** FAQ auf der Stammtischseite für “neuer Stammtisch” und “Wie nutze ich OontmG” -> Stammtisch CheatSheet
** Stammtische sollen eine Liste auf owasp.org mit potentiellen Vortragenden pflegen. Achim legt die Seite an (done! https://www.owasp.org/index.php/Germany/Speaker ).
* OWASP Germany Social Media und Webseite-Inhalte insb. Startseite (Tobias, Torsten)
** Tobias: Die German Chapter Seite ist nicht “freundlich für Einsteiger”.
** Torstens Vorschlag: Einstiegsseite soll zielgruppenspezifische Landingpage bieten (Informationssuchende, Stammtischeinteressierte, jemand der beitragen möchte,....)
** Torsten und Henrik machen einen Vorschlag
** Twitteraccount owasp.de liegt derzeit bei Dirk und Boris
* Anfrage Mithilfe bei Orga "Large OWASP AppSec Trainings" der Foundation (Achim, Tobias)
** Torsten berichtet von Erfahrungen vom Münchner Stammtisch.
** Austausch zwischen den Stammtischen ist gewünscht, soll aber nicht formalisiert werden (keine Mailingliste)
** Torsten schickt ein Template für eine Umfrage zu Stammtischen an.
* Orga-Tools Stammtische wie Meetup, Mailingliste (auch Board)
** Mails an owasp.de sollen in Zukunft bouncen (Tobias, done)
** Für Board soll zukünftig die board-germany Liste auf mailman genutzt werden.
** Liste eingerichtet, hidden Liste, Member sind informiert; Admin z.Zt. Achim und Bastian
** Meetup: der Stammtisch Karlsruhe nutzt Meetup mit dem OWASP.org Beta Programm.
** Tobias erfragt bei Kate, ob Meetup von owasp.org zur Verfügung gestellt wird (Anfrage gestellt)
** Falls meetup nicht weiter unterstützt ist: Xing hatte bereits einen kostenfreien Pro-Account angeboten.
* Wie kann das German Chapter beim Beantragen und Durchführen von OWASP-Projekten unterstützten?
** Konkreter Painpoint: Review-Prozeß für Juice-Shop (oder allgemein für Projekte) hängt. Bei weiteren konkreten Problemen: Mail an Tobias. Tobias eskaliert an OWASP global.
** Weiterer Painpoint: SecurityRAT. Henrik bittet Daniel, mit Tobias Kontakt aufzunehmen.
* Anfrage Mithilfe bei Orga "Large OWASP AppSec Trainings" der Foundation (Achim, Tobias)
** Generell bestehen Kontakte zu Universitäten.
** Tobias erfragt Rahmendaten: Zielpublikum, Dauer, Sponsored, ...? (Anfrage läuft)
* Summit:
** Achim berichtet über den kommenden Summit im Juni in der Nähe von London.
** Abstimmung: das Chapter sponsored die Entsendung von Achim und Björn zum Summit. Wenn ihre ** Kosten vom “Editors Fund” übernommen werden, dann spenden wir 3.600 EUR vom Chapter Budget an den Summit. Falls Ingo wg. Finanzen teilnimmt, dann werden seine Kosten von dieser Summe gedeckt (Rest Spende). Einstimmig bei zwei Enthaltungen.
* Sonstiges
** Henrik & Torsten: Kümmern sich um ein Konzept für freie (oder kostengünstige) Trainings am Tag nach dem GOD 2017 in Essen
** Martin greift den “German OWASP Summer of Code” wieder auf.
Nächstes Chaptermeeting am Vortag des GOD 2017.
** Ingo: die Konferenzwebseite für den GOD muss professioneller ausschauen. Björn schaut sich an, ob man die appsec.eu Seite auf github “kopieren” kann.
** Torsten fragt, ob das Chapter eine Leinwand (80 EUR) finanziert. Board stimmt zu (einstimmig bei einer Enthaltung.. Ingo pflegt eine “Assetliste”. Seite angelegt: https://www.owasp.org/index.php/Germany/Assets

==OWASP Germany Chapter Meeting am 28.11.2016 in Darmstadt==
Am Vortag des German OWASP Day 2016 fand ein Chapter-Meeting statt. [https://www.owasp.org/images/d/d2/Protokoll_OWASP_Chapter-Meeting_2016-11-26.pdf Protokoll]

* Uhrzeit: Montag, den 28.11.2016, 15-18h
* Ort: Seminarraum des CAST e.V., Rheinstraße 75, 64295 Darmstadt

'''Draft Agenda:'''

* Begrüßung und kurze namentliche Vorstellung (~10min)

* Finanzen (~60min)
** Ingo: Finanzübersicht und Status des Chapters
** Dirk: Wofür wollen wir Geld ausgeben? Handlungszwang durch Foundation 60min (http://lists.owasp.org/pipermail/owasp-leaders/2016-November/017448.html)
** Dirk: Finanzübersicht erarbeiten/abstimmen für 2017 (siehe Sheet)

* Wer möchte im neuen Chapter mitwirken? (~45min)
** Projekte (siehe Reiter 2 im Sheet)
*** Vorstellen und Hand heben
**** German Summer of Code (Martin/Bastian)
**** Studentensponsoring zum GOD
**** Laison/Fadenhalter für Außenauftritte/fremde Konferenzen (Boris' Bemerkung, 1.11.)
**** Achim: Wiki: eigenes in DE? Oder bleibt's beim Foundation-Wiki?
** Personen
** Wahl eines neuen Chapter Lead
** "Kassenwart"
** Sponsorliason

* Pause 10 min (ab Minute 115)

* Boris: Retrospektive des GOD 2015 (Finanzen, Besucher): ~10 Min

* Ingo: Kurze Zahlen zum GOD 2016 (Finanzen, Besucher) ~5 Min

* GOD 2017 (15min)
** Gibt's jemanden, der 2017 die nationale Konferenz organisieren will?
** lessons learnt 2016/5
*** Programm
*** Generell

* IT Ressourcen des German OWASP Chapters (10min)
** owasp.de: Domain, HTTP, SMTP
** vServer bei Strato: was ist drauf. Brauchen wir's? Wer macht was?
** Zertifikat

* Logo, Neuer Sponsoren-Vertrag (10min)

* Restpunkte, sollten wir noch Zeit haben
** ..

==OWASP Germany Chapter Meeting am 13.04.2015 in Frankfurt==
Das OWASP Germany Chapter Meeting fand am Montag, den [https://lists.owasp.org/pipermail/owasp-germany/2015-March/000758.html 14.03.2014 um 13.00 Uhr in Frankfurt] statt. Die Agenda, Informationen und Beschlüsse sind dem [https://www.owasp.org/images/b/b9/Protokoll_OWASP_Chapter-Meeting_2015-04-13.reformatiert.pdf Protokoll] zu entnehmen.

==OWASP Germany Chapter Meeting am 14.03.2014 in Frankfurt==
Das OWASP Germany Chapter Meeting fand Freitag, 14.03.2014 um 13.30 Uhr in Frankfurt statt.

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
Ort: Gewerkschaftshaus Willi-Richter-Saal Wilhelm-Leuschner-Straße 69-77 60329 Frankfurt

Hiermit laden wir Euch nochmals herzlich zum Chapter Meeting des OWASP German Chapters ein.

Wer sich aktiv in die Gestaltung des Chapters einbringen möchte, ist hier genau richtig. Die Chapter-Meetings richten sich an all diejenigen, die aktiv am Chapter geschehen teilhaben möchten. Wir stellen die Weichen, um OWASP in Deutschland noch präsenter zu machen und freuen uns auf Deinen Beitrag! OWASP lebt von der Community, von der aktiven Beteiligung.
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |
==== Invitation ====

|-
| style="vertical-align:top; padding-right:0.5em;" |
==== Agenda ====
* 13.30h Tobias Glemser, OWASP German Chapter Lead: Warme Willkommensworte und Rückblick auf Chapter-Aktivitäten 2013 (15 min)
* 13:45h "You are known by the company you keep: Introducing a secure software vendor exchange program" Chris Wysopal, CTO, Veracode (15 min)
* 14.00h "Password Storage: Adobe schlägt Forbes und OWASP" Arnim Rupp, LH Systems (15min)
* 14:15h Dirk Wetter, OWASP German Chapter Board Member und AppSec Research Conference Chair: Rückblick OWASP AppSec Research 2013 und Ausblick OWASP Day 2014 (45 min)
* 15:00h Pause (15 min)
* 15:15h "25 Million Flows Later - Large-scale Detection of DOM-based XSS", Martin Johns SAP AG (45 min)
* 16:00h Tobias Glemser, OWASP German Chapter Lead:Verwendung der zur Verfügung stehenden Geldmittel im Chapter (45 min)
* 16:45h Tobias Glemser, OWASP German Chapter Lead: Chapter Board Wahl (wie 2013 entschieden alle Posten) (15 min)
* 17.00h offene Runde: OWASP Germany im kommenden Jahr (30 min)
* Gegen 17.30 Uhr Ende und wer mag im Anschluss noch einen Absacker im Ristorante Vitavera

[https://reg.owasp.de Meldet Euch bitte hier an].

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Agenda ====
|-

| style="vertical-align:top; padding-right:0.5em;" |
==== Ergebnisse / Protokoll ====
* [[Media:OWASP_Chapter_Meeting_2014-03-14.pdf‎|→ Vortrag]] Tobias Glemser, OWASP German Chapter Lead: Warme Willkommensworte und Rückblick auf Chapter-Aktivitäten 2013
* Vortrag "You are known by the company you keep: Introducing a secure software vendor exchange program" Chris Wysopal, CTO, Veracode
* [[Media:Password_Storage.pdf‎|→ Vortrag]] "Password Storage: Adobe schlägt Forbes und OWASP" Arnim Rupp, LH Systems
* 14:15h Dirk Wetter, OWASP German Chapter Board Member und AppSec Research Conference Chair: Rückblick OWASP AppSec Research 2013 und Ausblick OWASP Day 2014 Es wurden grundsätzliche Diskussionen geführt.
** Nach dem Rückblick über die äußerst gelungene AppSec in Hamburg wurden grundsätzliche Diskussionen geführt, wie wir 2014 unsere Konferenz ausrichten.
** ca November 2014 (Kollision mit BeNeLux, it-sa etc. vermeiden)
** CfP müsste bis Mai dann raus . Bis dahin muss Stadt und Ort gefixt sein
** Format eher wieder 1 Tag, 2 Tracks
** Freier Eintritt, komplette Finanzierung durch Sponsoren wird defavorisiert, da befürchtet wird, dass Sponsoren das schwer zu verkaufen ist.
** Problem des Billings/Rechnungsstellung. Viel Aufwand derzeit => Factoring Firma finden
** Wo: Hotel oder Uni?
*** Uni: keine sinnvollen Vorschläge beim Chapter Meeting
*** Hotels: Dresden, Hamburg, ...
** Ort ist relativ egal, Kriterien:
*** ICE-Bahnhof
*** Etwas Attraktivität kann nicht schaden
*** Etablierter Stammtisch dort wäre von Vorteil
*** idealerweise jemand mit lokalen Kenntnissen vor Ort
** Wer: Wir alle auf vielen Schultern oder ein Dienstleister
*** Auch in letztem Fall bleibt Arbeit bei uns hängen.
*** Dirk hat den Orga-Hut auf. Tobias Sponsoren-Hut, Martin PK-Hut.
** Ausrichtung der Konferenz:
*** Lassen wie es ist
*** Mehr an die Entwickler ran
*** Mehr an die Entscheider ran
*** Mehr an die Studenten ran
*** Mehr auch an Hobbyleute ran
*** => offen
**Für 2015: Beschluss Nähe zu Karlsruhe Entwicklertagen zu finden. Ohne Gegenstimme angenommen.

* Torsten Gigler stellte [https://www.owasp.org/index.php/Category:OWASP_Top_10_fuer_Entwickler Top10 für Entwickler] vor
* Anfrage aus Schottland wegen Sponsoring der Unkosten eines Vortrags von Mario Heidereich. Der Chapterlead wurde entsprechend auf OWASP on the Move verwiesen. Falls das nicht klappt, sponsort das deutsche Chapter die Reise.
* Auftrag für Konferenzen an Tobias Glemser Bücher und Infomaterial von OWASP zu kaufen, um es kostenfrei verteilen zu können.
* [[Media:OWASP_domxss.pdf|→ Vortrag]] "25 Million Flows Later - Large-scale Detection of DOM-based XSS", Martin Johns SAP AG (45 min)
* Da die Diskussion um den German OWASP Day das Zeitkontingent gesprent hat, wurden die folgenden beiden Agendapunkte auf das Chapter Meeting 02/2014 geschoben.
** OWASP German Chapter Lead:Verwendung der zur Verfügung stehenden Geldmittel im Chapter (45 min)
** OWASP German Chapter Lead: Chapter Board Wahl (wie 2013 entschieden alle Posten) (15 min)
* Mit leckerem Essen im Ristorante Vitavera beendeten wir das Chapter Meeting.

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Protocol ====
(see German text on left)
|}

==OWASP Germany Chapter Meeting am 17.05.2013 in Frankfurt==

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
Das OWASP Germany Chapter Meeting fand am 17.05.2013 um 14 Uhr in Frankfurt statt.

Ort: Saalbau Gallus, Frankenallee 111, 60326 Frankfurt am Main
[[http://maps.google.de/maps?q=Frankenallee+111,+60326+Frankfurt+am+Main&hl=de&sll=50.104389,8.642389&sspn=0.002883,0.010375&vpsrc=0 Karte]] (Wenige Meter von der S-Bahnstation Galluswarte entfernt, ein Halt von Frankfurt Hbf)
----
==== Einladung ====
Hiermit laden wir Euch nochmals herzlich zum Chapter Meeting des OWASP German Chapters ein.

Wer sich aktiv in die Gestaltung des Chapters einbringen möchte, ist hier genau richtig. Die Chapter-Meetings richten sich an all diejenigen, die aktiv am Chapter geschehen teilhaben möchten. Wir stellen die Weichen, um OWASP in Deutschland noch präsenter zu machen und freuen uns auf Deinen Beitrag! OWASP lebt von der Community, von der aktiven Beteiligung.

[https://reg.owasp.de Meldet Euch bitte hier an]. Bitte!

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |
|-
| style="vertical-align:top;" |

==== Agenda ====

* 14.00h Tobias Glemser, OWASP German Chapter Lead (30 min): Warme Willkommensworte und Rückblick auf Chapter-Aktivitäten 2012
* 14:30h Laurent Levi von Checkmarx (45 min): DevOps and Security: It's Happening. Right Now.
* 15:15h Dirk Wetter, OWASP German Chapter Board Member und AppSec EU Research Conference Chair (30 min): Rückblick OWASP Day 2012 und Ausblick AppSec EU Research 2013
* 15:45h Pause (15 min)
* 16.00h Jim Manico, OWASP Board Member (45 min): Top Ten Web Defenses
* 16.45h Torsten Gigler, OWASP German Chapter (15 min): [https://www.owasp.org/index.php/OWASP_Top_10_Fuer_Entwickler_Project OWASP Top 10 fuer Entwickler]
* 17.00h Tobias Glemser, OWASP German Chapter Lead (15 min): Chapter Board Wahl
* 17.15h offene Runde (30 min): OWASP Germany im kommenden Jahr
* Gegen 17.30 Uhr Ende und wer mag im Anschluss noch einen Absacker im benachbarten Griechen.

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |

==== Agenda ====
* 14.00h Tobias Glemser, OWASP German Chapter Lead (30 min): Welcome and Review of Chapter Activities 2012
* 14:30h Laurent Levi von Checkmarx (45 min): DevOps and Security: It's Happening. Right Now.
* 15:15h Dirk Wetter, OWASP German Chapter Board Member und AppSec EU Research Conference Chair (30 min): Review OWASP Day 2012 and Outlook AppSec EU Research 2013
* 15:45h Break (15 min)
* 16.00h Jim Manico, OWASP Board Member (45 min): Top Ten Web Defenses
* 16.45h Torsten Gigler, OWASP German Chapter (15 min): [https://www.owasp.org/index.php/OWASP_Top_10_Fuer_Entwickler_Project OWASP Top 10 fuer Entwickler]
* 17.00h Tobias Glemser, OWASP German Chapter (15 min): Chapter Board Election
* 17.00h offene Runde (30 min): OWASP Germany next year
* About 17.30h we will be finished. Who's interested in joining a get together in a greek restaurant nearby is asked to note
|-
| style="vertical-align:top; padding-right:0.5em;" |

==== Ergebnisse / Protokoll ====

* Begrüßung und Bericht durch Tobias [ [[Media:German_Chapter_Meeting_2013_Bericht_Chapter.pdf‎|→ Folien]] ]
* Talk: Laurent Levi, Checkmarx
* Kurze Vorstellungsrunde
* Talk: Torsten Gigler - OWASP Top 10 für Entwickler [ [[Media:German_Chapter_Meeting_2013_OWASP_Top_10_fuer_Entwickler.pdf‎|→ Folien]] ]
* Talk: Dirk Wetter - AppSec Research 2013
** GOD 2012
*** Rückblick auf GOD 2012 (German OWASP Day)
*** Fachlich und finanziell ein voller Erfolg
** Dev(i|e)l 2013
*** Ausblick auf AppSec Research 2013
*** Konferenz verspricht viel
*** Details unter https://appsec.eu
* Talk: Jim Manico - Top Ten Web Defenses [ [http://www.slideshare.net/JimManico/top-ten-defenses-v10 → Folien] ]
* Organisatorisches
** Chapter Lead: Tobias Glemser
** Board 2013:
*** Dirk Wetter
*** Martin Johns
*** Achim Hoffmann
*** Emin Tatlı
*** Kai Jendrian
** Entscheidung: Neubesetzung des Boards jährlich
* OWASP Day 2014
* Ortsauswahl durch Call for Venue
* Vorschläge vor Ort:
** Köln
** Karlsruhe
* Vorschläge Projekte
** Übersetzug OpenSAMM
** Übersetzung der Top 10 nach finaler Veröffentlichung (Trigger durch Kai)
* Sonstiges:
** Treffen des OWASP Chapters im Q4 mit Vortrag
** Bessere Präsenz der OWASP in andere Konferenzen

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |

==== Protocol ====
tbd
|

|-
! colspan="2" style="vertical-align:top;" align="left" |
==== Abstracts/Bios ====
|-
| colspan="2" |
===== DevOps and Security: It's Happening. Right Now. =====
How do you integrate security within a Continuous Deployment (CD) environment - where every 5 minutes a feature, an enhancement, or a bug fix needs to be released? Traditional application security tools which require lengthy periods of configuration, tuning and application learning have become irrelevant in these fast-pace environments. Yet, falling back only on the secure coding practices of the developer cannot be tolerated.
Secure coding requires a new approach where security tools become part of the development environment – and eliminate any unnecessary code analysis overhead. By collaborating with development teams, understanding their needs and requirements, you can pave the way to a secure deployment in minutes. Steps include:
* Re-evaluate existing security tools and consider their integration within a CD environment
* Deliver a secured development framework and enforce its usage
* Pinpoint precise security code flaws and provide optimal fix recommendations

Laurent Levi
Laurent is an experienced security professional with extensive technical knowledge in all aspects of application security. Over the last 6 years, Laurent has been managing Checkmarx's professional services team and prior to that led the code audit team of Lexsi in France. Laurent has extensive software development experience and has a post graduate degree in AI from Paris VI Université Pierre et Marie Curie.

===== Top Ten Web Defenses =====
We cannot “firewall” or “patch” our way to secure websites. In the past, security professionals thought firewalls, Secure Sockets Layer (SSL), patching, and privacy policies were enough. Today, however, these methods are outdated and ineffective, as attacks on prominent, well-protected websites are occurring every day. Citigroup, PBS, Sega, Nintendo, Gawker, AT&T, the CIA, the US Senate, NASA, Nasdaq, the NYSE, Zynga, and thousands of others have something in common – all have had websites compromised in the last year. No company or industry is immune. Programmers need to learn to build websites differently. This talk will review the top coding techniques developers need to master in order to build a low-risk, high-security web application.

Jim Manico is the VP of Security Architecture for WhiteHat Security, a web security firm. He authors and delivers developer security awareness training for WhiteHat Security and has a background as a software developer and architect. Jim is also a global board member for the OWASP foundation. He manages and participates in several OWASP projects, including the OWASP cheat sheet series and the OWASP podcast series.
----
|}

==OWASP Germany Chapter Meeting am 03.02.2012 in Frankfurt==

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
OWASP Germany Chapter Meeting fand am 03.02.2012 in Frankfurt statt.

Ort: Saalbau Gallus, Frankenallee 111, 60326 Frankfurt am Main
[[http://maps.google.de/maps?q=Frankenallee+111,+60326+Frankfurt+am+Main&hl=de&sll=50.104389,8.642389&sspn=0.002883,0.010375&vpsrc=0 Karte]] (Wenige Meter von der S-Bahnstation Galluswarte entfernt, ein Halt von
Frankfurt Hbf).

----
==== Einladung ====
Hiermit laden wir Euch nochmals herzlich zum ersten Chapter Meeting 2012 des OWASP German Chapters ein.
Wer sich aktiv in die Gestaltung des Chapters einbringen möchte, ist hier genau richtig. Wir stellen die Weichen, um OWASP in Deutschland noch präsenter zu machen und freuen uns auf Deinen Beitrag! OWASP lebt von der Community, von der aktiven Beteiligung.
Nur aufgrund der vielen Köpfe sind wir dort, wo wir heute stehen. Also los! Wir würden uns insbesondere freuen, mehr von Euch aus dem edukativen Bereich (ja, Ihr liebe Studenten!) bei uns willkommen zu heißen.

Zur besseren Planung gebt bitte kurz per Mail Bescheid, wenn Ihr teilnehmt. Danke!

Plant auch danach noch gerne etwas Zeit ein, wir lassen den Tag bei einem gemeinsamen Essen und vielleicht einem Getränk nachwirken.

Viele Grüße und bis zum 03.02. in Frankfurt, wir freuen uns auf Euch.
OWASP German Chapter
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |

==== Invitation ====

|-
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |
|-
|
==== Agenda ====

* Georg: Begrüßung durch Georg Heß, German Board Leader
* Kai: Vortrag "OWASP Top 10 auf Deutsch - Fallstricke und Überraschungen"
* Kai: Fragen und Antworten zu "OWASP Top 10 auf Deutsch"
* Boris: Vortrag "Das neue OWASP Chapter Handbook - wie wir weltweit arbeiten"
* Boris: Fragen und Antworten zu "OWASP Chapter Handbook"
* Dirk: Rückblick OWASP Day 2011, Ausblick 2012
* Tobias: Rückblick it-sa 2011, Ausblick 2012
* Dirk: AppSec Research EU: 2013 in Deutschland?
* Boris: Firmen-Chapter-Support (Kosten, Vorteile, Ablauf)
* Georg: Aktionen zur Mitgliedergewinnung
* Bruce: Möglichkeiten zur Intensivierung der Pressearbeit
* Boris: Zusammenarbeit mit dem BSI
* Tobias: Themen für Projekte 2012
* Georg: kurzer Abriss zu OWASP-Zertifizierungen
* Achim: Definition Rahmenbedingungen Jobseite
* Achim: Administratoren für owasp.org
* Georg: Wahl Leader und Board OWASP German Chapter

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Agenda ====
|-

| style="vertical-align:top; padding-right:0.5em;" |
==== Ergebnisse / Protokoll ====
Das Protokoll des Chapter-Meetings ist [[Media:Chapter-Germany-20120203-Protokoll.zip|hier]] zu finden; das Passwort ist geheim ;-)

Wichtige Entscheidungen in Kürze:
* Tobias als Chapter Leader gewählt
* Wahl des Boards: Bruce, Dirk, Emin, Martin, Achim
* German OWASP Day 2012 im November in München
** 1,5 - 2 Tage, dieses Jahr keine kommerziellen Trainings
** CfP-Kommitee geführt von Dirk, Martin
** es wird eine Teilnahme/Anwesenheits-Bescheinigung geben
* OWASP-Stand auf it.sa 2012 in Nürnberg
* Firmensponsoring wird ermöglicht: local sponsor ca. 500,-/Jahr
* Zusammenarbeit mit BSI wird intensiviert
* es wird (vorerst) keine eigene deutsche Jobseite unter owasp.org geben; bitte [[OWASP_Jobs]] benutzen
...
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Protocol ====
Meetings minutes can be found [[Media:Chapter-Germany-20120203-Protokoll.zip|here]] . Note that it is in German.

Most important:
* Tobias as Chapter Leader elected
* Boards Members: Bruce, Dirk, Emin, Martin, Achim
* German OWASP Day 2012 will be in November in München
** 1,5 - 2 days, no trainings sessions this year
** CfP Commitee lead by Dirk, Martin
* OWASP will be present at it.sa 2012 in Nürnberg
* company sponsoring possible: local sponsor ca. 500,-/anno
* co-operation and collaboration with BSI will be initiated
* currently no local job page within owasp.org
...
|}

==Chapter Board Meeting am 19.8.2011 in München==

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
==== Agenda ====
* Selbstverständnis Chapter – die Zukunft
* OWASP Germany in „das Bewusstsein“ bringen
* Vereinsgründung ja/nein
* Geldverwaltung/Rechnungen
* Firmen als Chapter Member
* IT-SA 2011
* Board (Kommunikation. Rollen, Wahl, Termin Chapter Meeting)
* Stand der Dinge: Flyer
* OWASP Day

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Agenda ====
|-

| style="vertical-align:top; padding-right:0.5em;" |
==== Ergebnisse / Protokoll ====
Das Protokoll des Board-Meetings ist [[Media:Chapter-Germany-20110819-Protokoll.zip|hier]] zu finden; das Passwort ist geheim ;-)

Wichtige Entscheidungen in Kürze:
* OWASP Chapter Germany stellt auf der it.sa in Nürnberg aus, 11.10. - 13.10.2011
* es wird eine ''Firmen-Mitgliedschaft'' aka ''Chapter Supporter'' angeboten; Näheres in kürze auf der Webseite
* nächstes Chapter Meeting am 20.01.2012 oder 03.02.2012 in Frankfurt
...

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |

==== Protocol ====
The protocol of the Chapter Germany Board Meetings can be found [[Media:Chapter-Germany-20110819-Protokoll.zip|here]] . Note that it is in German.

Most important:
* OWASP Chapter Germany will be at it.sa in Nuremberg, 11.10. - 13.10.2011
* ''Chapter Supporter'' will be possible for companies; details comming soon
* next Chapter Meeting 20.01.2012 or 03.02.2012 in Frankfurt
...
|}

== Chapter Meeting am 20.5.2010 in München ==

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
==== Agenda ====
* 14:00 Allgemeine Begrüßungs- und Vorstellungsrunde
* 14:15 Bruce Sams: „Strategie und Kosten für ein SDLC“
* 14:50 Diskussion
* 15:10 Boris Hemkemeier: „Two Factors Are Not Enough“
* 16:05 Diskussion (geht nahtlos über in die)
* 16:15 Kaffeepause
* 16:35 Vortrag mit Diskussion „Organisatorisches im Chapter“
* 17:15 Beginn der Beschlussfassungen und Wahlen
* 17:25 Vortrag mit Diskussion „OWASP Germany Conference 2010“

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |
==== Agenda ====
|-

| style="vertical-align:top; padding-right:0.5em;" |
==== Ergebnisse / Protokoll ====
===== Organisatorisches im Chapter =====

Die Wesentlichen Punkte, die umgesetzt oder verbessert werden sollen:

* Mehr Außenwirkung durch Public Relations, bessere Pressearbeit / Pressemitteilungen und Einführung und Pflege einer Sprecher- und Rednerliste (um z.B. bei öffentlichen Veranstaltungen OWASP adäquat vorstellen zu können)
* Gepflegtes Wiki sowohl für Außendarstellung als auch als Plattform für die interne Kommunikation
* Einführung von direkten Ansprechpartner für diverse Branchen

Es folgt eine kurze Diskussion, wie dies effektiv umgesetzt werden kann. Es wird ein Vorschlag durch konkludentes Handeln angenommen: Es soll ein Chapter Board bestehend aus 5 Mitgliedern gewählt werden. Jedes dieser Mitglieder bekommt eine oder mehrere dedizierte Aufgabe(n), um die oben genannten Punkte abzudecken und umzusetzen. Es folgt ein Aufruf, sich für eine entsprechende Wahl zur Verfügung zu stellen. Es soll ebenso der neue Chapter Leader gewählt werden. Da sich nur ein Kandidat für nur einen Posten zur Wahl für die nächsten zwei Jahre zur Verfügung stellt, wird folgendes entschieden: Bei Abstimmungen hat jedes Mitglied des Boards genau eine Stimme, während der Chapter Leader zwei Stimmen hat. So soll zukünftig bei Abstimmungen eine Stimmengleichheit verhindert werden.

===== Beschluss zur Anzahl der Chapter Leaders =====

Es wird von den 12 Teilnehmern des Chapter Meetings einstimmig beschlossen, das zukünftig das Chapter Germany (analog zu den meisten anderen OWASP Chapters) nur noch einen Chapter Leader hat.

===== Wahl des Chapter Leaders =====

''Georg Heß'' kandidiert als Chapter Leader und wird mit 11 von 12 Stimmen bei einer Enthaltung zum neuen Chapter Leader des OWASP Chapters Germany gewählt.

===== Beschluss zur zukünftigen Zusammensetzung des Boards =====

Einstimmig wird beschlossen, dass das zukünftige Board aus 5 Mitgliedern besteht. Diese sollen die Aufgaben wie in der Diskussion beschrieben wahr nehmen.

===== Wahl des Boards =====

Es kandidieren ''Tobias Glemser, Boris Hemkemeier, Achim Hoffmann, Uli Petersen und Bruce Sams'' für die 5 Sitze im Board. Alle werden einstimmig gewählt.

Alle Gewählten nehmen die Wahl an.

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Protocol ====
Not yet available in English, sorry.
|}

== OWASP German Chapter Meeting 10.07.2009, Mannheim ==

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
==== Einladaung ====
;Summary:We will start with three interesting fresh talks. The following topics are the next activities of the OWASP German Chapter: the new [http://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative "Stammtisch Initiative"] and the planning of the [http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference OWASP AppSec Germany 2009] at Nuremberg.

;Location:Aula of the [http://www.hs-mannheim.de Hochschule Mannheim], Building 3, Paul-Wittsack-Strasse 10, Mannheim ([http://maps.google.de/maps?f=d&source=s_d&saddr=Mannheim+Hbf&daddr=49.471303,8.48372&geocode=Fbr-8gIduTmBAA%3B&hl=de&mra=dme&mrcr=0&mrsp=1&sz=15&sll=49.474885,8.474715&sspn=0.015532,0.050254&ie=UTF8&z=15 Google Maps]). Please download the [http://www.hs-mannheim.de/campus/grafik/campusplan_legende_web.pdf campus map].
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |
==== Invitation ====

|-
| style="vertical-align:top; padding-right:0.5em;" |
==== Agenda ====
* 12:00 - 13:00 : Lunch (optional, please send an email to [mailto:Georg.Hess@artofdefence.com?subject=OWASP%20Chapter%20Meeting%20Lunch%20registration Georg Heß] to register for lunch), meeting point for the lunch is at the Aula in Building 3
* 13:15 - 13:30 : Opening by our host Prof. Rainer Gerten (German)
* 13:30 - 14:30 : OWASP Educational Services - Teaching Security!, Martin Knobloch, Member of OWASP Global Education Committee (English)
* 14:30 - 15:00 : Vorstellung und aktueller Stand des OWASP Germany Projekts "Best Practice: Projektierung von Sicherheitsprüfungen von Web Applikationen", N.N., Projekt-Mitarbeiter (German)
* 15:00 - 15:45 : Cloud Application Security - Chancen und Risiken - Einige Ansatzpunkte zum Thema, Georg Hess (German)
* 15:45 - 16:15 : Coffee
* 16:15 - 17:00 : Organisational topics of the OWASP German Chapter (German)
** OWASP Stammtisch Initiative
** Outlook and organisational tasks for the 2nd [[OWASP Germany 2009 Conference]]
* nach 17:00 : Come together (Any ideas for a near pub??)

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Agenda ====
|-

| style="vertical-align:top; padding-right:0.5em;" |
==== Ergebnisse / Protokoll ====

===== OWASP AppSec 2010 =====

Es folgt ein kurzer historischer Rückblick der Veranstaltungsorte: 2008 im Hotel in Frankfurt, 2009 auf der Messe it-sa in Nürnberg. Kurze Diskussion pro und contra Hotel vs. Messe vs. Hochschul-Location.

* Es soll geprüft werden, ob die diesjährige '''„OWASP Germany Conference 2010“''' wieder in Kooperation mit der Messe Nürnberg / it-sa durchgeführt werden kann (z.B. am 20.10.2010).
* Weiterhin ist ein Konferenztag mit '''zwei verschiedenen Tracks (Technik und Management)''' angedacht.
* Um die inhaltliche Gestaltung voranzutreiben wird ein '''Programm-Komitee''' (initial bestehend aus ''Bruce Sams, Kai Jendrian, Boris Hemkemeier und Martin Johns'') ins Leben gerufen, das alsbald den '''CFP''' starten soll.

Gegen 18:15 löst sich das OWASP German Chapter Meeting auf und geht nahtlos in den 12. „Happy Anniversary!“ OWASP Stammtisch München über.

Weitere Ergebnisse sind [https://lists.owasp.org/pipermail/owasp-germany/2009-July/000086.html in den Minutes hier] zu finden

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Protocol ====
Minutes: [https://lists.owasp.org/pipermail/owasp-germany/2009-July/000086.html See the list archive for the minutes.]
|}

== OWASP German Chapter Meeting - February 20th, 2008 in Darmstadt ==

;Date: February 20th, 2008, 11:00-16:15
;Location: The next chapter meeting will be hosted at CAST in Darmstadt.
: CAST (http://www.cast-forum.de<nowiki/>)''' Fraunhoferstr. 5 (vormals Rundeturmstr. 6) - EG Room 072 - [http://www.cast-forum.de/workshops/anfahrt.html Anfahrt]'''

;Agenda: This time the focus is on technical presentations and discussion.
: Technical presentation slots will consist of 20-30 minute presentation and 15 minute discussion.
# (11:00 - 11:15) Welcome, Introduction and Administrativia
# (11:15 - 11:30) Vorstellung von CAST (Dr. Heinemann)
# (11:30 - 11:45) Short OWASP organisation introduction and update (Tobias Gondrom)
# (11:45 - 12:30) First technical presentation "Best Practices beim Einsatz einer Web Application Firewall 1.0" (Slides: [http://www.owasp.org/images/1/1b/WAF-Paper.pdf PDF]) (Alexander Meisel)
# (12:30 - 13:15) Break
# (13:15 - 14:00) Second technical presentation "Defending against Web Application DoS Attacks" (Maximilian Dermann)
# (14:00 - 14:45) 20-Minutes Talks (15 Min Presentation + 5-10 Min Discuss)
: * "Input validation in ASP.NET -- tips, tricks & pitfalls" (Boris Hemkemeier)
: * "Managing of extremely large Web Application Firewall Installations" (Slides: [http://www.owasp.org/images/f/f6/VeryLargeWAFs.pdf PDF]) (Alexander Meisel)
# (14:45 - 15:00) Coffee Break
# (15:00 - 15:45) Fourth technical presentation "Secure Coding and Development Guidelines (part of CLASP)" (Tobias)
# (15:45 - 16:00) Wrap-up and outlook

== Chapter Meeting on September 7th 2007 in Frankfurt/Main ==

After two years of absence the German Chapter has been restarted. The chapter meeting was on September 7th 2007, 15:00 - 18:00.

This first chapter meeting had as its main goal the re-initiation of the German chapter and to start work on projects. Talks and presentations are secondary and will receive more focus at subsequent meetings.

Read meeting notes/minutes [https://lists.owasp.org/pipermail/owasp-germany/2007-September/000038.html here].

----
[https://www.owasp.org/index.php?title=Germany/Chapter_Meetings <top>] [[Germany|<zurück>]] [[Germany|<Germany>]]

[[Category:Germany]]
[[Category:Europe]]

German OWASP Day 2016

2016-11-16T22:45:45Z

Bohem: typo

[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]

 

[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]

__TOC__

=== Restplätze werden über diese [https://www.regonline.com/owaspgermanday2016 Warteliste] vergeben. ===

== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen.

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.

Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.

Alle Infos werden über die Mailingliste des German Chapters
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und
sind auf der Webseite des
German OWASP Day 2016
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.



== Call For Presentations ==

Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.

== Unsere Sponsoren ==

Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''
|
|-
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]
|
|
|
|-
|
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]
|
|
|
|-
|
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]]
|
|
|
|-
|
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]]
|
|
|}
== Sponsoring ==

Ist natürlich auch dieses Jahr wieder herzlich willkommen.

Details für Sponsoren finden sich im [[media:GOD_2016_Sponsorsheet.pdf|→ Sponsorsheet]], . Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]

== Wann + Wo ==
=== Konferenzort ===
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30.
* CAST e.V. im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.

=== Vorabendveranstaltung ===

Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Weststadtbar [http://www.weststadt.de www.weststadt.de] ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...

== Programm ==
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"
|-
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" |
 '''Dienstag, 29. November 2015'''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' ''Ingo Hanke''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101''' ''Martin Knobloch''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security: Facing Information Security Threats''' ''Tobias Millauer (Daimler)'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung''' ''Christian Schneider'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle''' ''Daniel Kefer and René Reuter''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework''' ''Thomas Patzke''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot''' ''Andreas Falk''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Reverse Engineering Android Apps With CodeInspect''' ''Siegfried Rasthofer''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited''' ''Patrick Spiegel''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks''' 

* Bastian Braun: Der Secure Development Lifecycle in der agilen Praxis
* Björn Kimminich: What's new in OWASP Juice Shop?
* Juraj Somorovsky: TLS-Attacker (Systematic Fuzzing and Testing of TLS Libraries)

|-
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy''' ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen''' ''Matthias Rohr''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)''' ''Sebastian Schinzel''
|-
|}

== Talks und Abstracts ==

=== Keynote: CarIT Security: Facing Information Security Threats ===

''Abstract:'' The principal objective of this keynote is to demonstrate existing frameworks, tools and methodologies to face automotive cyber security threats. The main threat for automobile manufacturers is that the car architecture has not been designed for Internet access, whereas in recent years, internet access has been added retrospectively on top of the traditional architecture. Automobiles are nowadays cyber-physical systems, whereby new challenges arise since technologies and development methods for safety are not applicable for security. Information security processes of connected cars have an impact on customer satisfaction as CarIT Security protects the life of vehicle occupants and privacy ensures data protection of personally identifiable information. The role of information security must be to ensure transparency across the threats, whereby the Board of Management must be put in a position to recognize information security threats. Information Security Risk Management provides the opportunity to raise the required management attention.

''Bio:'' Tobias Millauer is an Information Security Architect CarIT at Daimler’s Global Information Security department, where he advises projects on CarIT Security and ensures CarIT Security Governance. He studied IT Security at the University of Applied Sciences St. Pölten and the Bern University of Applied Sciences. His bachelor thesis examined how business growth through information security will be achieved for automobile manufacturers. Millauer is currently working towards his Master's degree in Information Security Management at University of Applied Sciences Hagenberg with focus on Corporate Governance and Risk Management.

----

'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''

''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.

In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.

----

'''Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle'''

''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren.

Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures.

Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.

----

'''Matthias Rohr: Sicherheit agil Testen'''

''Abstract:'' Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden.

Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints.

In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen.

----

'''Andreas Falk: Sicher in die Cloud mit Angular 2 und Spring Boot'''

''Abstract:'' Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt.
Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht.
Doch wie steht es um die Sicherheit derartiger Anwendungen?
Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen.
Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend.
Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.

----

'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''

''Abstract:'' Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten.

Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden.

In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben.

----

'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''

''Abstract:'' Content Security Policy is a web platform mechanism designed
to mitigate cross-site scripting (XSS), the top security
vulnerability in modern web applications [24]. In this talk,
we take a closer look at the practical benefits of adopting
CSP and identify significant flaws in real-world deployments
that result in bypasses in 94.72% of all distinct policies.
We base our Internet-wide analysis on a search engine corpus
of approximately 100 billion pages from over 1 billion
hostnames; the result covers CSP deployments on 1,680,867
hosts with 26,011 unique CSP policies – the most comprehensive
study to date. We introduce the security-relevant
aspects of the CSP specification and provide an in-depth
analysis of its threat model, focusing on XSS protections.
We identify three common classes of CSP bypasses and explain
how they subvert the security of a policy.
We then turn to a quantitative analysis of policies deployed
on the Internet in order to understand their security
benefits. We observe that 14 out of the 15 domains
most commonly whitelisted for loading scripts contain unsafe
endpoints; as a consequence, 75.81% of distinct policies
use script whitelists that allow attackers to bypass CSP. In
total, we find that 94.68% of policies that attempt to limit
script execution are ineffective, and that 99.34% of hosts
with CSP use policies that offer no benefit against XSS.
Finally, we propose the ’strict-dynamic’ keyword, an
addition to the specification that facilitates the creation of
policies based on cryptographic nonces, without relying on
domain whitelists. We discuss our experience deploying such
a nonce-based policy in a complex application and provide
guidance to web authors for improving their policies.

----

'''Christian Schneider. Java Deserialization Attacks: Angriff & Verteidigung'''

''Abstract:'' Dieser Talk gibt einen fundierten Überblick über den aktuellen Stand zum Thema Angriffe auf Java Deserialisierung: Nach einer kurzen Analyse des Grundproblems hinter der Verwundbarkeit am Beispiel realer Gadgets lernen Sie die mittlerweile verfügbaren Exploitation-Werkzeuge zur Ausnutzung von Deserialization-Endpoints kennen. Weiterhin werden wertvolle Tipps zum Auffinden von Gadgets und Endpoints mittels statischer Analyse (SAST) sowie dynamisch bei Pentests (DAST) vermittelt.

Der defensive Part des Talks widmet sich den Möglichkeiten zur Absicherung: Am Beispiel von Bypässen bestimmter Härtungsmaßnahmen werden deren Wirkungsgrade analysiert. Abschließend zeige ich, dass das Thema Java Deserialisierung nicht nur Java direkt betrifft, sondern auch auf der JVM verfügbare andere Sprachen.

----

'''Patrick Spiegel. NoSQL Injection revisited'''

''Abstract:'' In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges, but do they provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “
This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases – MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kinds of requests can be crafted that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.

----

'''Siegfried Rasthofer: Reverse Engineering Android Apps With CodeInspect'''

''Abstract:'' Android malware is getting more and more sophisticated. To impede analysis, modern malware families use various anti-analysis techniques such as packers, detectors for emulators or tamper detection mechanisms. Current static code-analysis tools quickly reach their limits with heavily obfuscated code. Dynamic code analysis tools, on the other hand, are frequently tricked by emulator detection. If malware applications use such techniques in combination, this can causes many automatic code-analysis tools to fail, due to their intrinsic limitations, leaving a manual analysis as the only viable option - a very difficult and time-consuming undertaking.

To alleviate the problem, we propose CodeInspect, a new integrated reverse-engineering environment targeting sophisticated state-of-the-art malware apps for Android. With features such as interactive debugging on a human readable representation of the application’s bytecode, CodeInspect aims to greatly reduce the time an analyst requires to understand and judge applications. Using CodeInspect, the engineer can debug the app live, can rename (obfuscated) identifiers, jump to definitions, remove or add statements and more. It further includes extensions for a fully-automatic de-obfuscation of reflective method calls, string de-obfuscation and a very precise dataflow tracking component that shows suspicious flows from sensitive sources to public sinks, all of which can be easily used in combination.

In this talk, we will introduce CodeInspect and give a live demo on analyzing current malicious applications containing cutting-edge anti-analysis techniques.


== Online-Registrierung / Eintrittspreise ==

=== Es sind nur noch Restplätze über diese [https://www.regonline.com/owaspgermanday2016 Warteliste] verfügbar. ===

Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday@owasp.org germanowaspday@owasp.org].

Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.

*Regulär: 219,00 €
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.

Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.



== Organisation ==

* [[User:Ingo Hanke|Ingo Hanke (Chair)]]
* [[User:Bohem|Boris Hemkemeier]]
* Hartwig Gelhausen
* Tobias Glemser
* [[User:achim|Achim Hoffmann]]
* [[User: Bjoern Kimminich|Björn Kimminich]]

* [[User:Martin_Johns|Martin Johns]] (Program Chair)
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)

== Hash tag ==
[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]

== Social Media Response ==
[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]

 <headertabs /> 
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]

German OWASP Day 2016

2016-11-16T22:45:09Z

Bohem: Formulierung

[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]

 

[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]

__TOC__

=== Restplätze werden über diese [https://www.regonline.com/owaspgermanday2016 Warteliste] vergeben. ===

== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen.

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.

Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.

Alle Infos werden über die Mailingliste des German Chapters
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und
sind auf der Webseite des
German OWASP Day 2016
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.



== Call For Presentations ==

Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.

== Unsere Sponsoren ==

Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''
|
|-
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]
|
|
|
|-
|
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]
|
|
|
|-
|
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]]
|
|
|
|-
|
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]]
|
|
|}
== Sponsoring ==

Ist natürlich auch dieses Jahr wieder herzlich willkommen.

Details für Sponsoren finden sich im [[media:GOD_2016_Sponsorsheet.pdf|→ Sponsorsheet]], . Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]

== Wann + Wo ==
=== Konferenzort ===
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30.
* CAST e.V. im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.

=== Vorabendveranstaltung ===

Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Weststadtbar [http://www.weststadt.de www.weststadt.de] ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...

== Programm ==
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"
|-
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" |
 '''Dienstag, 29. November 2015'''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' ''Ingo Hanke''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101''' ''Martin Knobloch''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security: Facing Information Security Threats''' ''Tobias Millauer (Daimler)'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung''' ''Christian Schneider'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle''' ''Daniel Kefer and René Reuter''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework''' ''Thomas Patzke''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot''' ''Andreas Falk''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Reverse Engineering Android Apps With CodeInspect''' ''Siegfried Rasthofer''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited''' ''Patrick Spiegel''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks''' 

* Bastian Braun: Der Secure Development Lifecycle in der agilen Praxis
* Björn Kimminich: What's new in OWASP Juice Shop?
* Juraj Somorovsky: TLS-Attacker (Systematic Fuzzing and Testing of TLS Libraries)

|-
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy''' ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen''' ''Matthias Rohr''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)''' ''Sebastian Schinzel''
|-
|}

== Talks und Abstracts ==

=== Keynote: CarIT Security: Facing Information Security Threats ===

''Abstract:'' The principal objective of this keynote is to demonstrate existing frameworks, tools and methodologies to face automotive cyber security threats. The main threat for automobile manufacturers is that the car architecture has not been designed for Internet access, whereas in recent years, internet access has been added retrospectively on top of the traditional architecture. Automobiles are nowadays cyber-physical systems, whereby new challenges arise since technologies and development methods for safety are not applicable for security. Information security processes of connected cars have an impact on customer satisfaction as CarIT Security protects the life of vehicle occupants and privacy ensures data protection of personally identifiable information. The role of information security must be to ensure transparency across the threats, whereby the Board of Management must be put in a position to recognize information security threats. Information Security Risk Management provides the opportunity to raise the required management attention.

''Bio:'' Tobias Millauer is an Information Security Architect CarIT at Daimler’s Global Information Security department, where he advises projects on CarIT Security and ensures CarIT Security Governance. He studied IT Security at the University of Applied Sciences St. Pölten and the Bern University of Applied Sciences. His bachelor thesis examined how business growth through information security will be achieved for automobile manufacturers. Millauer is currently working towards his Master's degree in Information Security Management at University of Applied Sciences Hagenberg with focus on Corporate Governance and Risk Management.

----

'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''

''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.

In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.

----

'''Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle'''

''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren.

Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures.

Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.

----

'''Matthias Rohr: Sicherheit agil Testen'''

''Abstract:'' Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden.

Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints.

In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen.

----

'''Andreas Falk: Sicher in die Cloud mit Angular 2 und Spring Boot'''

''Abstract:'' Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt.
Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht.
Doch wie steht es um die Sicherheit derartiger Anwendungen?
Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen.
Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend.
Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.

----

'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''

''Abstract:'' Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten.

Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden.

In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben.

----

'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''

''Abstract:'' Content Security Policy is a web platform mechanism designed
to mitigate cross-site scripting (XSS), the top security
vulnerability in modern web applications [24]. In this talk,
we take a closer look at the practical benefits of adopting
CSP and identify significant flaws in real-world deployments
that result in bypasses in 94.72% of all distinct policies.
We base our Internet-wide analysis on a search engine corpus
of approximately 100 billion pages from over 1 billion
hostnames; the result covers CSP deployments on 1,680,867
hosts with 26,011 unique CSP policies – the most comprehensive
study to date. We introduce the security-relevant
aspects of the CSP specification and provide an in-depth
analysis of its threat model, focusing on XSS protections.
We identify three common classes of CSP bypasses and explain
how they subvert the security of a policy.
We then turn to a quantitative analysis of policies deployed
on the Internet in order to understand their security
benefits. We observe that 14 out of the 15 domains
most commonly whitelisted for loading scripts contain unsafe
endpoints; as a consequence, 75.81% of distinct policies
use script whitelists that allow attackers to bypass CSP. In
total, we find that 94.68% of policies that attempt to limit
script execution are ineffective, and that 99.34% of hosts
with CSP use policies that offer no benefit against XSS.
Finally, we propose the ’strict-dynamic’ keyword, an
addition to the specification that facilitates the creation of
policies based on cryptographic nonces, without relying on
domain whitelists. We discuss our experience deploying such
a nonce-based policy in a complex application and provide
guidance to web authors for improving their policies.

----

'''Christian Schneider. Java Deserialization Attacks: Angriff & Verteidigung'''

''Abstract:'' Dieser Talk gibt einen fundierten Überblick über den aktuellen Stand zum Thema Angriffe auf Java Deserialisierung: Nach einer kurzen Analyse des Grundproblems hinter der Verwundbarkeit am Beispiel realer Gadgets lernen Sie die mittlerweile verfügbaren Exploitation-Werkzeuge zur Ausnutzung von Deserialization-Endpoints kennen. Weiterhin werden wertvolle Tipps zum Auffinden von Gadgets und Endpoints mittels statischer Analyse (SAST) sowie dynamisch bei Pentests (DAST) vermittelt.

Der defensive Part des Talks widmet sich den Möglichkeiten zur Absicherung: Am Beispiel von Bypässen bestimmter Härtungsmaßnahmen werden deren Wirkungsgrade analysiert. Abschließend zeige ich, dass das Thema Java Deserialisierung nicht nur Java direkt betrifft, sondern auch auf der JVM verfügbare andere Sprachen.

----

'''Patrick Spiegel. NoSQL Injection revisited'''

''Abstract:'' In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges, but do they provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “
This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases – MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kinds of requests can be crafted that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.

----

'''Siegfried Rasthofer: Reverse Engineering Android Apps With CodeInspect'''

''Abstract:'' Android malware is getting more and more sophisticated. To impede analysis, modern malware families use various anti-analysis techniques such as packers, detectors for emulators or tamper detection mechanisms. Current static code-analysis tools quickly reach their limits with heavily obfuscated code. Dynamic code analysis tools, on the other hand, are frequently tricked by emulator detection. If malware applications use such techniques in combination, this can causes many automatic code-analysis tools to fail, due to their intrinsic limitations, leaving a manual analysis as the only viable option - a very difficult and time-consuming undertaking.

To alleviate the problem, we propose CodeInspect, a new integrated reverse-engineering environment targeting sophisticated state-of-the-art malware apps for Android. With features such as interactive debugging on a human readable representation of the application’s bytecode, CodeInspect aims to greatly reduce the time an analyst requires to understand and judge applications. Using CodeInspect, the engineer can debug the app live, can rename (obfuscated) identifiers, jump to definitions, remove or add statements and more. It further includes extensions for a fully-automatic de-obfuscation of reflective method calls, string de-obfuscation and a very precise dataflow tracking component that shows suspicious flows from sensitive sources to public sinks, all of which can be easily used in combination.

In this talk, we will introduce CodeInspect and give a live demo on analyzing current malicious applications containing cutting-edge anti-analysis techniques.


== Online-Registrierung / Eintrittspreise ==

=== Es sind nur noch Restplätze über diese [https://www.regonline.com/owaspgermanday2016 Warteliste] verfübgar. ===

Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday@owasp.org germanowaspday@owasp.org].

Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.

*Regulär: 219,00 €
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.

Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.



== Organisation ==

* [[User:Ingo Hanke|Ingo Hanke (Chair)]]
* [[User:Bohem|Boris Hemkemeier]]
* Hartwig Gelhausen
* Tobias Glemser
* [[User:achim|Achim Hoffmann]]
* [[User: Bjoern Kimminich|Björn Kimminich]]

* [[User:Martin_Johns|Martin Johns]] (Program Chair)
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)

== Hash tag ==
[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]

== Social Media Response ==
[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]

 <headertabs /> 
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]

German OWASP Day 2016

2016-11-16T22:32:05Z

Bohem: Registrierung ist jetzt im Wartelistenmodus

[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]

 

[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]

__TOC__

=== Restplätze werden über diese [https://www.regonline.com/owaspgermanday2016 Warteliste] vergeben. ===

== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen.

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.

Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.

Alle Infos werden über die Mailingliste des German Chapters
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und
sind auf der Webseite des
German OWASP Day 2016
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.



== Call For Presentations ==

Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.

== Unsere Sponsoren ==

Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''
|
|-
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]
|
|
|
|-
|
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]
|
|
|
|-
|
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]]
|
|
|
|-
|
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]]
|
|
|}
== Sponsoring ==

Ist natürlich auch dieses Jahr wieder herzlich willkommen.

Details für Sponsoren finden sich im [[media:GOD_2016_Sponsorsheet.pdf|→ Sponsorsheet]], . Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]

== Wann + Wo ==
=== Konferenzort ===
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30.
* CAST e.V. im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.

=== Vorabendveranstaltung ===

Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Weststadtbar [http://www.weststadt.de www.weststadt.de] ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...

== Programm ==
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"
|-
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" |
 '''Dienstag, 29. November 2015'''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' ''Ingo Hanke''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101''' ''Martin Knobloch''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security: Facing Information Security Threats''' ''Tobias Millauer (Daimler)'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung''' ''Christian Schneider'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle''' ''Daniel Kefer and René Reuter''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework''' ''Thomas Patzke''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot''' ''Andreas Falk''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Reverse Engineering Android Apps With CodeInspect''' ''Siegfried Rasthofer''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited''' ''Patrick Spiegel''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks''' 

* Bastian Braun: Der Secure Development Lifecycle in der agilen Praxis
* Björn Kimminich: What's new in OWASP Juice Shop?
* Juraj Somorovsky: TLS-Attacker (Systematic Fuzzing and Testing of TLS Libraries)

|-
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy''' ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen''' ''Matthias Rohr''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)''' ''Sebastian Schinzel''
|-
|}

== Talks und Abstracts ==

=== Keynote: CarIT Security: Facing Information Security Threats ===

''Abstract:'' The principal objective of this keynote is to demonstrate existing frameworks, tools and methodologies to face automotive cyber security threats. The main threat for automobile manufacturers is that the car architecture has not been designed for Internet access, whereas in recent years, internet access has been added retrospectively on top of the traditional architecture. Automobiles are nowadays cyber-physical systems, whereby new challenges arise since technologies and development methods for safety are not applicable for security. Information security processes of connected cars have an impact on customer satisfaction as CarIT Security protects the life of vehicle occupants and privacy ensures data protection of personally identifiable information. The role of information security must be to ensure transparency across the threats, whereby the Board of Management must be put in a position to recognize information security threats. Information Security Risk Management provides the opportunity to raise the required management attention.

''Bio:'' Tobias Millauer is an Information Security Architect CarIT at Daimler’s Global Information Security department, where he advises projects on CarIT Security and ensures CarIT Security Governance. He studied IT Security at the University of Applied Sciences St. Pölten and the Bern University of Applied Sciences. His bachelor thesis examined how business growth through information security will be achieved for automobile manufacturers. Millauer is currently working towards his Master's degree in Information Security Management at University of Applied Sciences Hagenberg with focus on Corporate Governance and Risk Management.

----

'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''

''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.

In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.

----

'''Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle'''

''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren.

Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures.

Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.

----

'''Matthias Rohr: Sicherheit agil Testen'''

''Abstract:'' Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden.

Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints.

In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen.

----

'''Andreas Falk: Sicher in die Cloud mit Angular 2 und Spring Boot'''

''Abstract:'' Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt.
Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht.
Doch wie steht es um die Sicherheit derartiger Anwendungen?
Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen.
Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend.
Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.

----

'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''

''Abstract:'' Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten.

Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden.

In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben.

----

'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''

''Abstract:'' Content Security Policy is a web platform mechanism designed
to mitigate cross-site scripting (XSS), the top security
vulnerability in modern web applications [24]. In this talk,
we take a closer look at the practical benefits of adopting
CSP and identify significant flaws in real-world deployments
that result in bypasses in 94.72% of all distinct policies.
We base our Internet-wide analysis on a search engine corpus
of approximately 100 billion pages from over 1 billion
hostnames; the result covers CSP deployments on 1,680,867
hosts with 26,011 unique CSP policies – the most comprehensive
study to date. We introduce the security-relevant
aspects of the CSP specification and provide an in-depth
analysis of its threat model, focusing on XSS protections.
We identify three common classes of CSP bypasses and explain
how they subvert the security of a policy.
We then turn to a quantitative analysis of policies deployed
on the Internet in order to understand their security
benefits. We observe that 14 out of the 15 domains
most commonly whitelisted for loading scripts contain unsafe
endpoints; as a consequence, 75.81% of distinct policies
use script whitelists that allow attackers to bypass CSP. In
total, we find that 94.68% of policies that attempt to limit
script execution are ineffective, and that 99.34% of hosts
with CSP use policies that offer no benefit against XSS.
Finally, we propose the ’strict-dynamic’ keyword, an
addition to the specification that facilitates the creation of
policies based on cryptographic nonces, without relying on
domain whitelists. We discuss our experience deploying such
a nonce-based policy in a complex application and provide
guidance to web authors for improving their policies.

----

'''Christian Schneider. Java Deserialization Attacks: Angriff & Verteidigung'''

''Abstract:'' Dieser Talk gibt einen fundierten Überblick über den aktuellen Stand zum Thema Angriffe auf Java Deserialisierung: Nach einer kurzen Analyse des Grundproblems hinter der Verwundbarkeit am Beispiel realer Gadgets lernen Sie die mittlerweile verfügbaren Exploitation-Werkzeuge zur Ausnutzung von Deserialization-Endpoints kennen. Weiterhin werden wertvolle Tipps zum Auffinden von Gadgets und Endpoints mittels statischer Analyse (SAST) sowie dynamisch bei Pentests (DAST) vermittelt.

Der defensive Part des Talks widmet sich den Möglichkeiten zur Absicherung: Am Beispiel von Bypässen bestimmter Härtungsmaßnahmen werden deren Wirkungsgrade analysiert. Abschließend zeige ich, dass das Thema Java Deserialisierung nicht nur Java direkt betrifft, sondern auch auf der JVM verfügbare andere Sprachen.

----

'''Patrick Spiegel. NoSQL Injection revisited'''

''Abstract:'' In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges, but do they provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “
This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases – MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kinds of requests can be crafted that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.

----

'''Siegfried Rasthofer: Reverse Engineering Android Apps With CodeInspect'''

''Abstract:'' Android malware is getting more and more sophisticated. To impede analysis, modern malware families use various anti-analysis techniques such as packers, detectors for emulators or tamper detection mechanisms. Current static code-analysis tools quickly reach their limits with heavily obfuscated code. Dynamic code analysis tools, on the other hand, are frequently tricked by emulator detection. If malware applications use such techniques in combination, this can causes many automatic code-analysis tools to fail, due to their intrinsic limitations, leaving a manual analysis as the only viable option - a very difficult and time-consuming undertaking.

To alleviate the problem, we propose CodeInspect, a new integrated reverse-engineering environment targeting sophisticated state-of-the-art malware apps for Android. With features such as interactive debugging on a human readable representation of the application’s bytecode, CodeInspect aims to greatly reduce the time an analyst requires to understand and judge applications. Using CodeInspect, the engineer can debug the app live, can rename (obfuscated) identifiers, jump to definitions, remove or add statements and more. It further includes extensions for a fully-automatic de-obfuscation of reflective method calls, string de-obfuscation and a very precise dataflow tracking component that shows suspicious flows from sensitive sources to public sinks, all of which can be easily used in combination.

In this talk, we will introduce CodeInspect and give a live demo on analyzing current malicious applications containing cutting-edge anti-analysis techniques.


== Online-Registrierung / Eintrittspreise ==

=== Es werden nur noch Restplätze über diese [https://www.regonline.com/owaspgermanday2016 Warteliste] vergeben. ===

Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday@owasp.org germanowaspday@owasp.org].

Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.

*Regulär: 219,00 €
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.

Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.



== Organisation ==

* [[User:Ingo Hanke|Ingo Hanke (Chair)]]
* [[User:Bohem|Boris Hemkemeier]]
* Hartwig Gelhausen
* Tobias Glemser
* [[User:achim|Achim Hoffmann]]
* [[User: Bjoern Kimminich|Björn Kimminich]]

* [[User:Martin_Johns|Martin Johns]] (Program Chair)
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)

== Hash tag ==
[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]

== Social Media Response ==
[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]

 <headertabs /> 
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]

German OWASP Day 2016

2016-10-15T21:05:15Z

Bohem: Hinweis auf die Vorabendveranstaltung

[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]

 

[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]

__TOC__

== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen.

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.

Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.

Alle Infos werden über die Mailingliste des German Chapters
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und
sind auf der Webseite des
German OWASP Day 2016
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.



== Call For Presentations ==

Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen. Das Programm wird in Kürze veröffentlicht.




== Sponsoring ==

Ist natürlich auch dieses Jahr wieder herzlich willkommen.

Details für Sponsoren finden sich im [[media:GOD_2016_Sponsorsheet.pdf|→ Sponsorsheet]], . Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]

== Wann + Wo ==
=== Konferenzort ===
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30.
* CAST e.V. im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.

=== Vorabendveranstaltung ===

Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Weststadtbar [http://www.weststadt.de www.weststadt.de] ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...



== Online-Registrierung / Eintrittspreise ==

Die Registrierung öffnet am 17. Oktober und wird hier verlinkt.

Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.

*Regulär: 219,00 €
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.

Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.



== Organisation ==

* [[User:Ingo Hanke|Ingo Hanke (Chair)]]
* [[User:Bohem|Boris Hemkemeier]]
* Hartwig Gelhausen
* Tobias Glemser
* [[User:achim|Achim Hoffmann]]
* [[User: Bjoern Kimminich|Björn Kimminich]]

* [[User:Martin_Johns|Martin Johns]] (Program Chair)
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)

== Hash tag ==
[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]

== Social Media Response ==
[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]

 <headertabs /> 
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]

German OWASP Day 2016

2016-10-15T20:56:15Z

Bohem:

[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]

 

[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]

__TOC__

== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen.

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.

Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.

Alle Infos werden über die Mailingliste des German Chapters
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und
sind auf der Webseite des
German OWASP Day 2016
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.



== Call For Presentations ==

Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen. Das Programm wird in Kürze veröffentlicht.




== Sponsoring ==

Ist natürlich auch dieses Jahr wieder herzlich willkommen.

Details für Sponsoren finden sich im [[media:GOD_2016_Sponsorsheet.pdf|→ Sponsorsheet]], . Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]

== Wann + Wo ==
=== Konferenzort ===
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30.
* CAST e.V. im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.

=== Vorabendveranstaltung ===

Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Weststadtbar [http://www.weststadt.de www.weststadt.de] ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...



== Online-Registrierung / Eintrittspreise ==

Die Registrierung öffnet am 17. Oktober und wird hier verlinkt.

Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen.
*Regulär: 219,00 €
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.

Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.



== Organisation ==

* [[User:Ingo Hanke|Ingo Hanke (Chair)]]
* [[User:Bohem|Boris Hemkemeier]]
* Hartwig Gelhausen
* Tobias Glemser
* [[User:achim|Achim Hoffmann]]
* [[User: Bjoern Kimminich|Björn Kimminich]]

* [[User:Martin_Johns|Martin Johns]] (Program Chair)
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)

== Hash tag ==
[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]

== Social Media Response ==
[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]

 <headertabs /> 
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]

German OWASP Day 2016

2016-10-15T20:53:00Z

Bohem: /* Organisation */

[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]

 

[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]

__TOC__

== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen.

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.

Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.

Alle Infos werden über die Mailingliste des German Chapters
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und
sind auf der Webseite des
German OWASP Day 2016
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.



== Call For Presentations ==

Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen. Das Programm wird in Kürze veröffentlicht.




== Sponsoring ==

Ist natürlich auch dieses Jahr wieder herzlich willkommen.

Details für Sponsoren finden sich im [[media:GOD_2016_Sponsorsheet.pdf|→ Sponsorsheet]], . Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]

== Wann + Wo ==
=== Konferenzort ===
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30.
* CAST e.V. im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.

=== Vorabendveranstaltung ===

Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Weststadtbar [http://www.weststadt.de www.weststadt.de] ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...



== Online-Registrierung / Eintrittspreise ==

Die Registrierung öffnet am 17. Oktober und wird hier verlinkt.

Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen.
*Regulär: 219,00 €
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die dasd Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.

Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.



== Organisation ==

* [[User:Ingo Hanke|Ingo Hanke (Chair)]]
* [[User:Bohem|Boris Hemkemeier]]
* Hartwig Gelhausen
* Tobias Glemser
* [[User:achim|Achim Hoffmann]]
* [[User: Bjoern Kimminich|Björn Kimminich]]

* [[User:Martin_Johns|Martin Johns]] (Program Chair)
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)

== Hash tag ==
[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]

== Social Media Response ==
[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]

 <headertabs /> 
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]

User:Bohem

2016-10-15T20:50:34Z

Bohem: Created page with "Dr. Boris Hemkemeier is working as Director in the business oriented Information Security Consulting and Research Group within Commerzbank. His areas of work are security of i..."

Dr. Boris Hemkemeier is working as Director in the business oriented Information Security Consulting and Research Group within Commerzbank. His areas of work are security of internet applications, online banking, combatting cyber crime, usable security and the security of payment systems. He is a supporter of OWASP since the first European OWASP Conference at Royal Holloway, 2005.

In the German OWASP Chapter he co-organized the German OWASP Days and chaired the German OWASP Day 2015 in Frankfurt.

Before joining Commerzbank Boris studied mathematics and analytical philosophy in Bielefeld and Dortmund. He holds a PhD in mathematics with a thesis in computational number theory.

German OWASP Day 2016

2016-10-15T20:09:45Z

Bohem: Preise ergänzt

[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]

 

[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]

__TOC__

== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen.

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.

Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.

Alle Infos werden über die Mailingliste des German Chapters
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und
sind auf der Webseite des
German OWASP Day 2016
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.



== Call For Presentations ==

Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen. Das Programm wird in Kürze veröffentlicht.




== Sponsoring ==

Ist natürlich auch dieses Jahr wieder herzlich willkommen.

Details für Sponsoren finden sich im [[media:GOD_2016_Sponsorsheet.pdf|→ Sponsorsheet]], . Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]

== Wann + Wo ==
=== Konferenzort ===
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30.
* CAST e.V. im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.

=== Vorabendveranstaltung ===

Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Weststadtbar [http://www.weststadt.de www.weststadt.de] ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...



== Online-Registrierung / Eintrittspreise ==

Die Registrierung öffnet am 17. Oktober und wird hier verlinkt.

Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen.
*Regulär: 219,00 €
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die dasd Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.

Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.



== Organisation ==

* [[User:Ingo Hanke|Ingo Hanke (Chair)]]
* Boris Hemkemeier
* Hartwig Gelhausen
* Tobias Glemser
* [[User:achim|Achim Hoffmann]]
* [[User: Bjoern Kimminich|Björn Kimminich]]

* [[User:Martin_Johns|Martin Johns]] (Program Chair)
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)

== Hash tag ==
[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]

== Social Media Response ==
[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]

 <headertabs /> 
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]

German OWASP Day 2016

2016-10-13T05:28:27Z

Bohem: CfP ist geschlossen.

[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]

 

[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]

__TOC__

== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen.

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.

Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.

Alle Infos werden über die Mailingliste des German Chapters
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und
sind auf der Webseite des
German OWASP Day 2016
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.



== Call For Presentations ==

Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen. Das Programm wird in Kürze veröffentlicht.




== Sponsoring ==

Ist natürlich auch dieses Jahr wieder herzlich willkommen.

Details für Sponsoren finden sich im [[media:GOD_2016_Sponsorsheet.pdf|→ Sponsorsheet]], . Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]

== Wann + Wo ==
=== Konferenzort ===
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30.
* CAST e.V., Rheinstraße 75, 64295 Darmstadt - ca. 700m vom Bahnhof entfernt.

=== Vorabendveranstaltung ===

Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Weststadtbar [http://www.weststadt.de www.weststadt.de] ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...



== Online-Registrierung / Eintrittspreise ==

Die Registrierung öffnet Anfang Oktober und wird rechtzeitig angekündigt.

Preis: tba. bei allen Tickets ist die Vorabendveranstaltung inbegriffen.



== Übernachtung ==
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.

== Organisation ==

* [[User:Ingo Hanke|Ingo Hanke (Chair)]]
* Boris Hemkemeier
* Hartwig Gelhausen
* Tobias Glemser
* [[User:achim|Achim Hoffmann]]
* [[User: Bjoern Kimminich|Björn Kimminich]]

* [[User:Martin_Johns|Martin Johns]] (Program Chair)
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)

== Hash tag ==
[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]

== Social Media Response ==
[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]

 <headertabs /> 
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]

German OWASP Day 2016

2016-06-27T07:42:18Z

Bohem: Schnelle Überarbeitung: Ankündigung aktualisiert mit den Daten aus der SvD-Mail und alte Inhalte von 2016 entfernt.

[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]

 


__TOC__

== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum siebten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2015 in Darmstadt statt. Am Vorabbend sind alle Teilnehmer und Sprecher in ... zum Networken und fachlichen Austausch eingeladen.

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.

Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der
wichtigsten Institutionen für angewandte Sicherheit in Deutschland als
Partner für die Konferenz gewinnen konnten. CAST ist seit 2015
Academic Supporter von OWASP.

In Kürze erscheint der Call for Presentations.

Alle Infos werden über die Mailingliste des German Chapters
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und
sind auf der Webseite des
German OWASP Day 2016
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.



{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''
|

|
|}

Details für Sponsoren finden sich im [[...|→ Sponsorsheet ]], [[...|→ Information in English ]]. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]

== Wann + Wo ==
=== Konferenzort ===
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30.
* [...], zwei Minuten vom Bahnhof entfernt.

=== Vorabendveranstaltung ===

Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in ... [...] ab 19:00 Uhr.



== Online-Registrierung / Eintrittspreise ==

Die Registrierung öffnet nach den Sommerferien und wird rechtzeitig angekündigt.

Preis: tba. bei allen Tickets ist die Vorabendveranstaltung inbegriffen.



== Übernachtung ==
TBA

== Organisation ==

* Ingo Hanke (Chair)
* Boris Hemkemeier
* Hartwig Gelhausen
* Tobias Glemser
* [[User:achim|Achim Hoffmann]]

* [[User:Martin_Johns|Martin Johns]] (Program Chair)
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)

== Hash tag ==

[TBD]

== Social Media Response ==
[TBD]

 <headertabs /> 
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]

German OWASP Day 2015

2015-12-06T20:34:01Z

Bohem: /* Programm mit Präsentationen zum Download */ Talk von Amir Albih hinzugefügt

[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]

 

[[Image:2015_owasp_day_w_480px.png|right|Logo 7th German OWASP Day, CC-BY-NC-SA, Picture by http://www.anneberingmeier.com]]

__TOC__

<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center>
<center style="font-size: 140%;margin:2em;">'''Der German OWASP Day 2015 war ein voller Erfolg. Danke allen Beteiligten. Bis spätestens zum German OWASP Day 2016!'''</center>
<center style="font-size: 140%;margin:2em;">'''(Slides sind im Programmteil verlinkt, s.u.)'''</center>
== German OWASP Day 2015 / Deutscher OWASP-Tag 2015 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum siebten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 01.12.2015 in Frankfurt im Saalbau statt. Am Vorabbend sind alle Teilnehmer und Sprecher in die Gastronomie des Frankfurter Ruderclubs Germania am Museumsufer zum Networken und fachlichen Austausch eingeladen.

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2015 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.


== Unsere Sponsoren ==

Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2015.

{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''
|
|-
| [[Image:checkmarx_8700px.png|link=https://www.checkmarx.com/|www.checkmarx.com]]
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]
|
|-
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]]
|
|-
|
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]
|-|
|-
|
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]]
|-|
|
|
|}

Details für Sponsoren finden sich im [[Media:GOD_2015_Sponsorsheet.pdf|→ Sponsorsheet ]], [[Media:GOD_2015_Sponsorsheet_EN.pdf|→ Information in English ]]. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]

== Wann + Wo ==
=== Konferenzort ===
* Dienstag, den 01.12.2015, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30.
* [https://www.google.de/maps/place/Gewerkschaftshaus/@50.10333,8.66709,15z/data=!4m2!3m1!1s0x0:0x847142d75b91dd88 Gewerkschaftshaus, Wilhelm-Leuschner-Straße 69, 60329 Frankfurt am Main], direkt am Main und nur fünf Minuten vom Bahnhof entfernt.

=== Vorabendveranstaltung ===

Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 30. November eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Gastronomie der [https://www.google.de/maps/place/Frankfurter+RG+Germania+1869+e.V./@50.1026619,8.6729378,15z/data=!4m2!3m1!1s0x0:0xba5b77c46d0a106e Frankfurter Rudergesellschaft Germania am Schaumainkai 65, 60596 Frankfurt am Main] ab 19:00 Uhr.

== Programm mit Präsentationen zum Download ==
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"
|-
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" |
 '''Dienstag, 01. Dezember 2015'''       Raum: '''Saalbau'''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' ''Boris Hemkemeier & Dirk Wetter''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:'''[[Media:German_OWASP_Day_2015_Keynote_Christian_Rhino.pdf|Muss das alles so kompliziert sein? Die Digitalisierung der Finanzindustrie zwischen Kundenerwartungen, Regulierung und FinTechs]]''' ''Christian Rhino (Commerzbank)'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Not so Smart: On Smart TV Apps''' ''Marcus Niemietz, Juraj Somorovsky and Christian Mainka'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''[[Media:Your Script in My Page What Could Possibly Go Wrong - Sebastian Lekies+Ben Stock.pdf|Your Scripts in My Page - What Could Possibly Go Wrong?]]''' ''Sebastian Lekies and Ben Stock''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Why Organisations should rely on Mobile AppTesting''' ''Michael Spreitzenbarth and Jennifer Bombien''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''[[Media:OWASP-2015_Hammer_Loeschen_05_f%C3%BCr_OWASP.pdf| Löschen können! Die DIN 66398 und die Entwicklung von Anwendungen]]''' ''Volker Hammer''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''[[Media:OWASP_Germany_Conference_-_Robuste_und_Praktikable_Ans%C3%A4tze_zur_Verhinderung_von_Sicherheitsdefekten.pdf|Technical Keynote: Robuste und Praktikable Ansätze zur Verhinderung von Sicherheitsdefekten]]''' ''Christoph Kern (Google)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''[[Media:Practical Invalid Curve Attacks on TLS-ECDH - Juraj Somorovsky.pdf|Practical Invalid Curve Attacks on TLS-ECDH]]''' ''Juraj Somorovsky''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks''' 
* Björn Kimminich: [[Media:Juice Shop An intentionally insecure Javascript Web Application - Björn Kimminich.pdf|Hacking the Juice Shop "So ein Saftladen!"]]
* Christian Mainka, Vladislav Mladenov and Tim Guenther: [[Media:EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On - Vladislav Mladenov+Tim Guenther.pdf|EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On]]
* Ralf Reinhardt: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex auf Deutsch]]
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker

|-
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Webschwachstellen im Internet of Things''' ''Christian Dresen and Sebastian Schinzel''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''IT-Sicherheitsgesetz und mögliche Effekte für die Software-Industrie''' ''Alexios Fakos''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''[[Media:German_OWASP_Day_2015_Praktische_Erfahrungen_aus_der_Applikationssicherheit_-_Amir_Alsbih.pdf| Praktische Erfahrungen aus der Applikationssicherheit]]''' ''Amir Alsbih''
|-
|}



== Online-Registrierung / Eintrittspreise ==

Für den OWASP German Day 2015 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen:

*Regulär: 219,00 €
*OWASP Member: 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.

Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''

Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].

=== Fünf freie Tickets für Studenten ===
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).

Bewerbungsschluss war am 13.11.2015. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.

== Übernachtung ==
[http://www.hrs.de/web3?clientId=ZGVfX293YXNw,0 Hotels in unmittelbarer Nähe des Veranstaltungsortes und in allen Preiskategorien.]



== Organisation ==

* Boris Hemkemeier (Chair)
* Alexios Fakos
* Hartwig Gelhausen
* Tobias Glemser
* Ingo Hanke
* [[User:achim|Achim Hoffmann]]
*[[User: Bjoern Kimminich|Björn Kimminich]]
* [[User:Martin_Johns|Martin Johns]] (Program Chair)
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)
* Jan Wolff

== Hash tag ==

[https://twitter.com/#!/search/%23owasp_d2015 #owasp_d2015]

== Social Media Response ==
[http://eventifier.com/event/owaspd2015/ Social Media Recap at Eventifier]

 <headertabs /> 
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2015]]

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2015 <top>] [[Germany|<Germany>]]

File:German OWASP Day 2015 Praktische Erfahrungen aus der Applikationssicherheit - Amir Alsbih.pdf

2015-12-06T20:31:55Z

Bohem:

German OWASP Day 2015

2015-12-06T20:29:53Z

Bohem: /* Programm mit Präsentationen zum Download */ Talk von Volker Hammer hinzugefügt

[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]

 

[[Image:2015_owasp_day_w_480px.png|right|Logo 7th German OWASP Day, CC-BY-NC-SA, Picture by http://www.anneberingmeier.com]]

__TOC__

<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center>
<center style="font-size: 140%;margin:2em;">'''Der German OWASP Day 2015 war ein voller Erfolg. Danke allen Beteiligten. Bis spätestens zum German OWASP Day 2016!'''</center>
<center style="font-size: 140%;margin:2em;">'''(Slides sind im Programmteil verlinkt, s.u.)'''</center>
== German OWASP Day 2015 / Deutscher OWASP-Tag 2015 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum siebten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 01.12.2015 in Frankfurt im Saalbau statt. Am Vorabbend sind alle Teilnehmer und Sprecher in die Gastronomie des Frankfurter Ruderclubs Germania am Museumsufer zum Networken und fachlichen Austausch eingeladen.

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2015 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.


== Unsere Sponsoren ==

Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2015.

{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''
|
|-
| [[Image:checkmarx_8700px.png|link=https://www.checkmarx.com/|www.checkmarx.com]]
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]
|
|-
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]]
|
|-
|
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]
|-|
|-
|
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]]
|-|
|
|
|}

Details für Sponsoren finden sich im [[Media:GOD_2015_Sponsorsheet.pdf|→ Sponsorsheet ]], [[Media:GOD_2015_Sponsorsheet_EN.pdf|→ Information in English ]]. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]

== Wann + Wo ==
=== Konferenzort ===
* Dienstag, den 01.12.2015, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30.
* [https://www.google.de/maps/place/Gewerkschaftshaus/@50.10333,8.66709,15z/data=!4m2!3m1!1s0x0:0x847142d75b91dd88 Gewerkschaftshaus, Wilhelm-Leuschner-Straße 69, 60329 Frankfurt am Main], direkt am Main und nur fünf Minuten vom Bahnhof entfernt.

=== Vorabendveranstaltung ===

Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 30. November eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Gastronomie der [https://www.google.de/maps/place/Frankfurter+RG+Germania+1869+e.V./@50.1026619,8.6729378,15z/data=!4m2!3m1!1s0x0:0xba5b77c46d0a106e Frankfurter Rudergesellschaft Germania am Schaumainkai 65, 60596 Frankfurt am Main] ab 19:00 Uhr.

== Programm mit Präsentationen zum Download ==
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"
|-
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" |
 '''Dienstag, 01. Dezember 2015'''       Raum: '''Saalbau'''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' ''Boris Hemkemeier & Dirk Wetter''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:'''[[Media:German_OWASP_Day_2015_Keynote_Christian_Rhino.pdf|Muss das alles so kompliziert sein? Die Digitalisierung der Finanzindustrie zwischen Kundenerwartungen, Regulierung und FinTechs]]''' ''Christian Rhino (Commerzbank)'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Not so Smart: On Smart TV Apps''' ''Marcus Niemietz, Juraj Somorovsky and Christian Mainka'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''[[Media:Your Script in My Page What Could Possibly Go Wrong - Sebastian Lekies+Ben Stock.pdf|Your Scripts in My Page - What Could Possibly Go Wrong?]]''' ''Sebastian Lekies and Ben Stock''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Why Organisations should rely on Mobile AppTesting''' ''Michael Spreitzenbarth and Jennifer Bombien''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''[[Media:OWASP-2015_Hammer_Loeschen_05_f%C3%BCr_OWASP.pdf| Löschen können! Die DIN 66398 und die Entwicklung von Anwendungen]]''' ''Volker Hammer''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''[[Media:OWASP_Germany_Conference_-_Robuste_und_Praktikable_Ans%C3%A4tze_zur_Verhinderung_von_Sicherheitsdefekten.pdf|Technical Keynote: Robuste und Praktikable Ansätze zur Verhinderung von Sicherheitsdefekten]]''' ''Christoph Kern (Google)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''[[Media:Practical Invalid Curve Attacks on TLS-ECDH - Juraj Somorovsky.pdf|Practical Invalid Curve Attacks on TLS-ECDH]]''' ''Juraj Somorovsky''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks''' 
* Björn Kimminich: [[Media:Juice Shop An intentionally insecure Javascript Web Application - Björn Kimminich.pdf|Hacking the Juice Shop "So ein Saftladen!"]]
* Christian Mainka, Vladislav Mladenov and Tim Guenther: [[Media:EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On - Vladislav Mladenov+Tim Guenther.pdf|EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On]]
* Ralf Reinhardt: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex auf Deutsch]]
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker

|-
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Webschwachstellen im Internet of Things''' ''Christian Dresen and Sebastian Schinzel''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''IT-Sicherheitsgesetz und mögliche Effekte für die Software-Industrie''' ''Alexios Fakos''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Praktische Erfahrungen aus der Applikationssicherheit''' ''Amir Alsbih''
|-
|}



== Online-Registrierung / Eintrittspreise ==

Für den OWASP German Day 2015 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen:

*Regulär: 219,00 €
*OWASP Member: 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.

Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''

Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].

=== Fünf freie Tickets für Studenten ===
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).

Bewerbungsschluss war am 13.11.2015. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.

== Übernachtung ==
[http://www.hrs.de/web3?clientId=ZGVfX293YXNw,0 Hotels in unmittelbarer Nähe des Veranstaltungsortes und in allen Preiskategorien.]



== Organisation ==

* Boris Hemkemeier (Chair)
* Alexios Fakos
* Hartwig Gelhausen
* Tobias Glemser
* Ingo Hanke
* [[User:achim|Achim Hoffmann]]
*[[User: Bjoern Kimminich|Björn Kimminich]]
* [[User:Martin_Johns|Martin Johns]] (Program Chair)
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)
* Jan Wolff

== Hash tag ==

[https://twitter.com/#!/search/%23owasp_d2015 #owasp_d2015]

== Social Media Response ==
[http://eventifier.com/event/owaspd2015/ Social Media Recap at Eventifier]

 <headertabs /> 
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2015]]

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2015 <top>] [[Germany|<Germany>]]

File:OWASP-2015 Hammer Loeschen 05 für OWASP.pdf

2015-12-06T20:25:21Z

Bohem:

German OWASP Day 2015

2015-12-04T16:45:24Z

Bohem: Social Media Recap added

[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]

 

[[Image:2015_owasp_day_w_480px.png|right|Logo 7th German OWASP Day, CC-BY-NC-SA, Picture by http://www.anneberingmeier.com]]

__TOC__

<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center>
<center style="font-size: 140%;margin:2em;">'''Der German OWASP Day 2015 war ein voller Erfolg. Danke allen Beteiligten. Bis spätestens zum German OWASP Day 2016!'''</center>
<center style="font-size: 140%;margin:2em;">'''(Slides sind im Programmteil verlinkt, s.u.)'''</center>
== German OWASP Day 2015 / Deutscher OWASP-Tag 2015 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum siebten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 01.12.2015 in Frankfurt im Saalbau statt. Am Vorabbend sind alle Teilnehmer und Sprecher in die Gastronomie des Frankfurter Ruderclubs Germania am Museumsufer zum Networken und fachlichen Austausch eingeladen.

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2015 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.


== Unsere Sponsoren ==

Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2015.

{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''
|
|-
| [[Image:checkmarx_8700px.png|link=https://www.checkmarx.com/|www.checkmarx.com]]
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]
|
|-
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]]
|
|-
|
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]
|-|
|-
|
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]]
|-|
|
|
|}

Details für Sponsoren finden sich im [[Media:GOD_2015_Sponsorsheet.pdf|→ Sponsorsheet ]], [[Media:GOD_2015_Sponsorsheet_EN.pdf|→ Information in English ]]. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]

== Wann + Wo ==
=== Konferenzort ===
* Dienstag, den 01.12.2015, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30.
* [https://www.google.de/maps/place/Gewerkschaftshaus/@50.10333,8.66709,15z/data=!4m2!3m1!1s0x0:0x847142d75b91dd88 Gewerkschaftshaus, Wilhelm-Leuschner-Straße 69, 60329 Frankfurt am Main], direkt am Main und nur fünf Minuten vom Bahnhof entfernt.

=== Vorabendveranstaltung ===

Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 30. November eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Gastronomie der [https://www.google.de/maps/place/Frankfurter+RG+Germania+1869+e.V./@50.1026619,8.6729378,15z/data=!4m2!3m1!1s0x0:0xba5b77c46d0a106e Frankfurter Rudergesellschaft Germania am Schaumainkai 65, 60596 Frankfurt am Main] ab 19:00 Uhr.

== Programm mit Präsentationen zum Download ==
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"
|-
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" |
 '''Dienstag, 01. Dezember 2015'''       Raum: '''Saalbau'''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' ''Boris Hemkemeier & Dirk Wetter''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:'''[[Media:German_OWASP_Day_2015_Keynote_Christian_Rhino.pdf|Muss das alles so kompliziert sein? Die Digitalisierung der Finanzindustrie zwischen Kundenerwartungen, Regulierung und FinTechs]]''' ''Christian Rhino (Commerzbank)'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Not so Smart: On Smart TV Apps''' ''Marcus Niemietz, Juraj Somorovsky and Christian Mainka'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''[[Media:Your Script in My Page What Could Possibly Go Wrong - Sebastian Lekies+Ben Stock.pdf|Your Scripts in My Page - What Could Possibly Go Wrong?]]''' ''Sebastian Lekies and Ben Stock''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Why Organisations should rely on Mobile AppTesting''' ''Michael Spreitzenbarth and Jennifer Bombien''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Löschen können! Die DIN 66398 und die Entwicklung von Anwendungen''' ''Volker Hammer''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''[[Media:OWASP_Germany_Conference_-_Robuste_und_Praktikable_Ans%C3%A4tze_zur_Verhinderung_von_Sicherheitsdefekten.pdf|Technical Keynote: Robuste und Praktikable Ansätze zur Verhinderung von Sicherheitsdefekten]]''' ''Christoph Kern (Google)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''[[Media:Practical Invalid Curve Attacks on TLS-ECDH - Juraj Somorovsky.pdf|Practical Invalid Curve Attacks on TLS-ECDH]]''' ''Juraj Somorovsky''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks''' 
* Björn Kimminich: [[Media:Juice Shop An intentionally insecure Javascript Web Application - Björn Kimminich.pdf|Hacking the Juice Shop "So ein Saftladen!"]]
* Christian Mainka, Vladislav Mladenov and Tim Guenther: [[Media:EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On - Vladislav Mladenov+Tim Guenther.pdf|EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On]]
* Ralf Reinhardt: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex auf Deutsch]]
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker

|-
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Webschwachstellen im Internet of Things''' ''Christian Dresen and Sebastian Schinzel''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''IT-Sicherheitsgesetz und mögliche Effekte für die Software-Industrie''' ''Alexios Fakos''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Praktische Erfahrungen aus der Applikationssicherheit''' ''Amir Alsbih''
|-
|}



== Online-Registrierung / Eintrittspreise ==

Für den OWASP German Day 2015 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen:

*Regulär: 219,00 €
*OWASP Member: 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.

Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''

Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].

=== Fünf freie Tickets für Studenten ===
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).

Bewerbungsschluss war am 13.11.2015. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.

== Übernachtung ==
[http://www.hrs.de/web3?clientId=ZGVfX293YXNw,0 Hotels in unmittelbarer Nähe des Veranstaltungsortes und in allen Preiskategorien.]



== Organisation ==

* Boris Hemkemeier (Chair)
* Alexios Fakos
* Hartwig Gelhausen
* Tobias Glemser
* Ingo Hanke
* [[User:achim|Achim Hoffmann]]
*[[User: Bjoern Kimminich|Björn Kimminich]]
* [[User:Martin_Johns|Martin Johns]] (Program Chair)
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)
* Jan Wolff

== Hash tag ==

[https://twitter.com/#!/search/%23owasp_d2015 #owasp_d2015]

== Social Media Response ==
[http://eventifier.com/event/owaspd2015/ Social Media Recap at Eventifier]

 <headertabs /> 
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2015]]

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2015 <top>] [[Germany|<Germany>]]

German OWASP Day 2015

2015-12-04T16:38:43Z

Bohem:

[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]

 

[[Image:2015_owasp_day_w_480px.png|right|Logo 7th German OWASP Day, CC-BY-NC-SA, Picture by http://www.anneberingmeier.com]]

__TOC__

<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center>
<center style="font-size: 140%;margin:2em;">'''Der German OWASP Day 2015 war ein voller Erfolg. Danke allen Beteiligten. Bis spätestens zum German OWASP Day 2016!'''</center>
<center style="font-size: 140%;margin:2em;">'''(Slides sind im Programmteil verlinkt, s.u.)'''</center>
== German OWASP Day 2015 / Deutscher OWASP-Tag 2015 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum siebten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 01.12.2015 in Frankfurt im Saalbau statt. Am Vorabbend sind alle Teilnehmer und Sprecher in die Gastronomie des Frankfurter Ruderclubs Germania am Museumsufer zum Networken und fachlichen Austausch eingeladen.

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2015 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.


== Unsere Sponsoren ==

Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2015.

{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''
|
|-
| [[Image:checkmarx_8700px.png|link=https://www.checkmarx.com/|www.checkmarx.com]]
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]
|
|-
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]]
|
|-
|
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]
|-|
|-
|
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]]
|-|
|
|
|}

Details für Sponsoren finden sich im [[Media:GOD_2015_Sponsorsheet.pdf|→ Sponsorsheet ]], [[Media:GOD_2015_Sponsorsheet_EN.pdf|→ Information in English ]]. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]

== Wann + Wo ==
=== Konferenzort ===
* Dienstag, den 01.12.2015, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30.
* [https://www.google.de/maps/place/Gewerkschaftshaus/@50.10333,8.66709,15z/data=!4m2!3m1!1s0x0:0x847142d75b91dd88 Gewerkschaftshaus, Wilhelm-Leuschner-Straße 69, 60329 Frankfurt am Main], direkt am Main und nur fünf Minuten vom Bahnhof entfernt.

=== Vorabendveranstaltung ===

Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 30. November eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Gastronomie der [https://www.google.de/maps/place/Frankfurter+RG+Germania+1869+e.V./@50.1026619,8.6729378,15z/data=!4m2!3m1!1s0x0:0xba5b77c46d0a106e Frankfurter Rudergesellschaft Germania am Schaumainkai 65, 60596 Frankfurt am Main] ab 19:00 Uhr.

== Programm mit Präsentationen zum Download ==
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"
|-
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" |
 '''Dienstag, 01. Dezember 2015'''       Raum: '''Saalbau'''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' ''Boris Hemkemeier & Dirk Wetter''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:'''[[Media:German_OWASP_Day_2015_Keynote_Christian_Rhino.pdf|Muss das alles so kompliziert sein? Die Digitalisierung der Finanzindustrie zwischen Kundenerwartungen, Regulierung und FinTechs]]''' ''Christian Rhino (Commerzbank)'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Not so Smart: On Smart TV Apps''' ''Marcus Niemietz, Juraj Somorovsky and Christian Mainka'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''[[Media:Your Script in My Page What Could Possibly Go Wrong - Sebastian Lekies+Ben Stock.pdf|Your Scripts in My Page - What Could Possibly Go Wrong?]]''' ''Sebastian Lekies and Ben Stock''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Why Organisations should rely on Mobile AppTesting''' ''Michael Spreitzenbarth and Jennifer Bombien''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Löschen können! Die DIN 66398 und die Entwicklung von Anwendungen''' ''Volker Hammer''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''[[Media:OWASP_Germany_Conference_-_Robuste_und_Praktikable_Ans%C3%A4tze_zur_Verhinderung_von_Sicherheitsdefekten.pdf|Technical Keynote: Robuste und Praktikable Ansätze zur Verhinderung von Sicherheitsdefekten]]''' ''Christoph Kern (Google)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''[[Media:Practical Invalid Curve Attacks on TLS-ECDH - Juraj Somorovsky.pdf|Practical Invalid Curve Attacks on TLS-ECDH]]''' ''Juraj Somorovsky''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks''' 
* Björn Kimminich: [[Media:Juice Shop An intentionally insecure Javascript Web Application - Björn Kimminich.pdf|Hacking the Juice Shop "So ein Saftladen!"]]
* Christian Mainka, Vladislav Mladenov and Tim Guenther: [[Media:EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On - Vladislav Mladenov+Tim Guenther.pdf|EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On]]
* Ralf Reinhardt: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex auf Deutsch]]
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker

|-
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Webschwachstellen im Internet of Things''' ''Christian Dresen and Sebastian Schinzel''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''IT-Sicherheitsgesetz und mögliche Effekte für die Software-Industrie''' ''Alexios Fakos''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Praktische Erfahrungen aus der Applikationssicherheit''' ''Amir Alsbih''
|-
|}



== Online-Registrierung / Eintrittspreise ==

Für den OWASP German Day 2015 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen:

*Regulär: 219,00 €
*OWASP Member: 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.

Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''

Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].

=== Fünf freie Tickets für Studenten ===
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).

Bewerbungsschluss war am 13.11.2015. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.

== Übernachtung ==
[http://www.hrs.de/web3?clientId=ZGVfX293YXNw,0 Hotels in unmittelbarer Nähe des Veranstaltungsortes und in allen Preiskategorien.]



== Organisation ==

* Boris Hemkemeier (Chair)
* Alexios Fakos
* Hartwig Gelhausen
* Tobias Glemser
* Ingo Hanke
* [[User:achim|Achim Hoffmann]]
*[[User: Bjoern Kimminich|Björn Kimminich]]
* [[User:Martin_Johns|Martin Johns]] (Program Chair)
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)
* Jan Wolff

== Hash tag ==

[https://twitter.com/#!/search/%23owasp_d2015 #owasp_d2015]

 <headertabs /> 
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2015]]

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2015 <top>] [[Germany|<Germany>]]

German OWASP Day 2015

2015-12-03T20:04:26Z

Bohem: /* Programm mit Präsentationen zum Download */ Keynote von Christoph Kern hinzugefügt

[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]

 

[[Image:2015_owasp_day_w_480px.png|right|Logo 7th German OWASP Day, CC-BY-NC-SA, Picture by http://www.anneberingmeier.com]]

__TOC__

<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center>
<center style="font-size: 140%;margin:2em;">'''Der German OWASP Day 2015 war ein voller Erfolg. Danke allen Beteiligten. Bis spätestens zum German OWASP Day 2016!'''</center>
<center style="font-size: 140%;margin:2em;">'''(Slides folgen in Kürze)'''</center>
== German OWASP Day 2015 / Deutscher OWASP-Tag 2015 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum siebten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 01.12.2015 in Frankfurt im Saalbau statt. Am Vorabbend sind alle Teilnehmer und Sprecher in die Gastronomie des Frankfurter Ruderclubs Germania am Museumsufer zum Networken und fachlichen Austausch eingeladen.

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2015 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.


== Unsere Sponsoren ==

Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2015.

{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''
|
|-
| [[Image:checkmarx_8700px.png|link=https://www.checkmarx.com/|www.checkmarx.com]]
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]
|
|-
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]]
|
|-
|
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]
|-|
|-
|
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]]
|-|
|
|
|}

Details für Sponsoren finden sich im [[Media:GOD_2015_Sponsorsheet.pdf|→ Sponsorsheet ]], [[Media:GOD_2015_Sponsorsheet_EN.pdf|→ Information in English ]]. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]

== Wann + Wo ==
=== Konferenzort ===
* Dienstag, den 01.12.2015, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30.
* [https://www.google.de/maps/place/Gewerkschaftshaus/@50.10333,8.66709,15z/data=!4m2!3m1!1s0x0:0x847142d75b91dd88 Gewerkschaftshaus, Wilhelm-Leuschner-Straße 69, 60329 Frankfurt am Main], direkt am Main und nur fünf Minuten vom Bahnhof entfernt.

=== Vorabendveranstaltung ===

Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 30. November eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Gastronomie der [https://www.google.de/maps/place/Frankfurter+RG+Germania+1869+e.V./@50.1026619,8.6729378,15z/data=!4m2!3m1!1s0x0:0xba5b77c46d0a106e Frankfurter Rudergesellschaft Germania am Schaumainkai 65, 60596 Frankfurt am Main] ab 19:00 Uhr.

== Programm mit Präsentationen zum Download ==
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"
|-
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" |
 '''Dienstag, 01. Dezember 2015'''       Raum: '''Saalbau'''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' ''Boris Hemkemeier & Dirk Wetter''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:'''[[Media:German_OWASP_Day_2015_Keynote_Christian_Rhino.pdf|Muss das alles so kompliziert sein? Die Digitalisierung der Finanzindustrie zwischen Kundenerwartungen, Regulierung und FinTechs]]''' ''Christian Rhino (Commerzbank)'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Not so Smart: On Smart TV Apps''' ''Marcus Niemietz, Juraj Somorovsky and Christian Mainka'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''[[Media:Your Script in My Page What Could Possibly Go Wrong - Sebastian Lekies+Ben Stock.pdf|Your Scripts in My Page - What Could Possibly Go Wrong?]]''' ''Sebastian Lekies and Ben Stock''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Why Organisations should rely on Mobile AppTesting''' ''Michael Spreitzenbarth and Jennifer Bombien''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Löschen können! Die DIN 66398 und die Entwicklung von Anwendungen''' ''Volker Hammer''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''[[Media:OWASP_Germany_Conference_-_Robuste_und_Praktikable_Ans%C3%A4tze_zur_Verhinderung_von_Sicherheitsdefekten.pdf|Technical Keynote: Robuste und Praktikable Ansätze zur Verhinderung von Sicherheitsdefekten]]''' ''Christoph Kern (Google)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''[[Media:Practical Invalid Curve Attacks on TLS-ECDH - Juraj Somorovsky.pdf|Practical Invalid Curve Attacks on TLS-ECDH]]''' ''Juraj Somorovsky''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks''' 
* Björn Kimminich: [[Media:Juice Shop An intentionally insecure Javascript Web Application - Björn Kimminich.pdf|Hacking the Juice Shop "So ein Saftladen!"]]
* Christian Mainka, Vladislav Mladenov and Tim Guenther: [[Media:EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On - Vladislav Mladenov+Tim Guenther.pdf|EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On]]
* Ralf Reinhardt: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex auf Deutsch]]
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker

|-
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Webschwachstellen im Internet of Things''' ''Christian Dresen and Sebastian Schinzel''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''IT-Sicherheitsgesetz und mögliche Effekte für die Software-Industrie''' ''Alexios Fakos''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Praktische Erfahrungen aus der Applikationssicherheit''' ''Amir Alsbih''
|-
|}



== Online-Registrierung / Eintrittspreise ==

Für den OWASP German Day 2015 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen:

*Regulär: 219,00 €
*OWASP Member: 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.

Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''

Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].

=== Fünf freie Tickets für Studenten ===
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).

Bewerbungsschluss war am 13.11.2015. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.

== Übernachtung ==
[http://www.hrs.de/web3?clientId=ZGVfX293YXNw,0 Hotels in unmittelbarer Nähe des Veranstaltungsortes und in allen Preiskategorien.]



== Organisation ==

* Boris Hemkemeier (Chair)
* Alexios Fakos
* Hartwig Gelhausen
* Tobias Glemser
* Ingo Hanke
* [[User:achim|Achim Hoffmann]]
*[[User: Bjoern Kimminich|Björn Kimminich]]
* [[User:Martin_Johns|Martin Johns]] (Program Chair)
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)
* Jan Wolff

== Hash tag ==

[https://twitter.com/#!/search/%23owasp_d2015 #owasp_d2015]

 <headertabs /> 
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2015]]

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2015 <top>] [[Germany|<Germany>]]

File:OWASP Germany Conference - Robuste und Praktikable Ansätze zur Verhinderung von Sicherheitsdefekten.pdf

2015-12-03T19:57:53Z

Bohem:

German OWASP Day 2015

2015-12-03T19:43:53Z

Bohem: Programm mit downloadbaren Talks jetzt auf der Hauptseite

[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]

 

[[Image:2015_owasp_day_w_480px.png|right|Logo 7th German OWASP Day, CC-BY-NC-SA, Picture by http://www.anneberingmeier.com]]

__TOC__

<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center>
<center style="font-size: 140%;margin:2em;">'''Der German OWASP Day 2015 war ein voller Erfolg. Danke allen Beteiligten. Bis spätestens zum German OWASP Day 2016!'''</center>
<center style="font-size: 140%;margin:2em;">'''(Slides folgen in Kürze)'''</center>
== German OWASP Day 2015 / Deutscher OWASP-Tag 2015 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum siebten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 01.12.2015 in Frankfurt im Saalbau statt. Am Vorabbend sind alle Teilnehmer und Sprecher in die Gastronomie des Frankfurter Ruderclubs Germania am Museumsufer zum Networken und fachlichen Austausch eingeladen.

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2015 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.


== Unsere Sponsoren ==

Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2015.

{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''
|
|-
| [[Image:checkmarx_8700px.png|link=https://www.checkmarx.com/|www.checkmarx.com]]
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]
|
|-
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]]
|
|-
|
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]
|-|
|-
|
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]]
|-|
|
|
|}

Details für Sponsoren finden sich im [[Media:GOD_2015_Sponsorsheet.pdf|→ Sponsorsheet ]], [[Media:GOD_2015_Sponsorsheet_EN.pdf|→ Information in English ]]. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]

== Wann + Wo ==
=== Konferenzort ===
* Dienstag, den 01.12.2015, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30.
* [https://www.google.de/maps/place/Gewerkschaftshaus/@50.10333,8.66709,15z/data=!4m2!3m1!1s0x0:0x847142d75b91dd88 Gewerkschaftshaus, Wilhelm-Leuschner-Straße 69, 60329 Frankfurt am Main], direkt am Main und nur fünf Minuten vom Bahnhof entfernt.

=== Vorabendveranstaltung ===

Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 30. November eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Gastronomie der [https://www.google.de/maps/place/Frankfurter+RG+Germania+1869+e.V./@50.1026619,8.6729378,15z/data=!4m2!3m1!1s0x0:0xba5b77c46d0a106e Frankfurter Rudergesellschaft Germania am Schaumainkai 65, 60596 Frankfurt am Main] ab 19:00 Uhr.

== Programm mit Präsentationen zum Download ==
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"
|-
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" |
 '''Dienstag, 01. Dezember 2015'''       Raum: '''Saalbau'''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' ''Boris Hemkemeier & Dirk Wetter''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:'''[[Media:German_OWASP_Day_2015_Keynote_Christian_Rhino.pdf|Muss das alles so kompliziert sein? Die Digitalisierung der Finanzindustrie zwischen Kundenerwartungen, Regulierung und FinTechs]]''' ''Christian Rhino (Commerzbank)'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Not so Smart: On Smart TV Apps''' ''Marcus Niemietz, Juraj Somorovsky and Christian Mainka'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''[[Media:Your Script in My Page What Could Possibly Go Wrong - Sebastian Lekies+Ben Stock.pdf|Your Scripts in My Page - What Could Possibly Go Wrong?]]''' ''Sebastian Lekies and Ben Stock''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Why Organisations should rely on Mobile AppTesting''' ''Michael Spreitzenbarth and Jennifer Bombien''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Löschen können! Die DIN 66398 und die Entwicklung von Anwendungen''' ''Volker Hammer''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''Technical Keynote: Robuste und Praktikable Ansätze zur Verhinderung von Sicherheitsdefekten''' ''Christoph Kern (Google)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''[[Media:Practical Invalid Curve Attacks on TLS-ECDH - Juraj Somorovsky.pdf|Practical Invalid Curve Attacks on TLS-ECDH]]''' ''Juraj Somorovsky''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks''' 
* Björn Kimminich: [[Media:Juice Shop An intentionally insecure Javascript Web Application - Björn Kimminich.pdf|Hacking the Juice Shop "So ein Saftladen!"]]
* Christian Mainka, Vladislav Mladenov and Tim Guenther: [[Media:EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On - Vladislav Mladenov+Tim Guenther.pdf|EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On]]
* Ralf Reinhardt: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex auf Deutsch]]
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker

|-
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Webschwachstellen im Internet of Things''' ''Christian Dresen and Sebastian Schinzel''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''IT-Sicherheitsgesetz und mögliche Effekte für die Software-Industrie''' ''Alexios Fakos''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Praktische Erfahrungen aus der Applikationssicherheit''' ''Amir Alsbih''
|-
|}



== Online-Registrierung / Eintrittspreise ==

Für den OWASP German Day 2015 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen:

*Regulär: 219,00 €
*OWASP Member: 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.

Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''

Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].

=== Fünf freie Tickets für Studenten ===
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).

Bewerbungsschluss war am 13.11.2015. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.

== Übernachtung ==
[http://www.hrs.de/web3?clientId=ZGVfX293YXNw,0 Hotels in unmittelbarer Nähe des Veranstaltungsortes und in allen Preiskategorien.]



== Organisation ==

* Boris Hemkemeier (Chair)
* Alexios Fakos
* Hartwig Gelhausen
* Tobias Glemser
* Ingo Hanke
* [[User:achim|Achim Hoffmann]]
*[[User: Bjoern Kimminich|Björn Kimminich]]
* [[User:Martin_Johns|Martin Johns]] (Program Chair)
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)
* Jan Wolff

== Hash tag ==

[https://twitter.com/#!/search/%23owasp_d2015 #owasp_d2015]

 <headertabs /> 
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2015]]

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2015 <top>] [[Germany|<Germany>]]

German OWASP Day 2015/Programm

2015-12-03T19:26:12Z

Bohem: /* Vorläufige Agenda / Vorträge / Presentations */ Keynote Rhino hinzugefügt

[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]

__NOTOC__

[[Image:2015_owasp_day_w_480px.png|center|Logo 7ter German OWASP Day]]

== Vorläufige Agenda / Vorträge / Presentations ==

{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"
|-
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" |
 '''Dienstag, 01. Dezember 2015'''       Raum: '''Saalbau'''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' ''Boris Hemkemeier & Dirk Wetter''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:'''[[Media:German_OWASP_Day_2015_Keynote_Christian_Rhino.pdf|Muss das alles so kompliziert sein? Die Digitalisierung der Finanzindustrie zwischen Kundenerwartungen, Regulierung und FinTechs]]''' ''Christian Rhino (Commerzbank)'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Not so Smart: On Smart TV Apps''' ''Marcus Niemietz, Juraj Somorovsky and Christian Mainka'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''[[Media:Your Script in My Page What Could Possibly Go Wrong - Sebastian Lekies+Ben Stock.pdf|Your Scripts in My Page - What Could Possibly Go Wrong?]]''' ''Sebastian Lekies and Ben Stock''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Why Organisations should rely on Mobile AppTesting''' ''Michael Spreitzenbarth and Jennifer Bombien''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Löschen können! Die DIN 66398 und die Entwicklung von Anwendungen''' ''Volker Hammer''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''Technical Keynote: Robuste und Praktikable Ansätze zur Verhinderung von Sicherheitsdefekten''' ''Christoph Kern (Google)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''[[Media:Practical Invalid Curve Attacks on TLS-ECDH - Juraj Somorovsky.pdf|Practical Invalid Curve Attacks on TLS-ECDH]]''' ''Juraj Somorovsky''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks''' 
* Björn Kimminich: [[Media:Juice Shop An intentionally insecure Javascript Web Application - Björn Kimminich.pdf|Hacking the Juice Shop "So ein Saftladen!"]]
* Christian Mainka, Vladislav Mladenov and Tim Guenther: [[Media:EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On - Vladislav Mladenov+Tim Guenther.pdf|EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On]]
* Ralf Reinhardt: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex auf Deutsch]]
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker

|-
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Webschwachstellen im Internet of Things''' ''Christian Dresen and Sebastian Schinzel''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''IT-Sicherheitsgesetz und mögliche Effekte für die Software-Industrie''' ''Alexios Fakos''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Praktische Erfahrungen aus der Applikationssicherheit''' ''Amir Alsbih''
|-
|}



== Details zu den Vorträgen ==


=== Keynotes ===

''Christian Rhino'' (Commerzbank): '''Muss das alles so kompliziert sein? Die Digitalisierung der Finanzindustrie zwischen Kundenerwartungen, Regulierung und FinTechs'''

----

''Christoph Kern'' (Google): '''Robuste und Praktikable Ansätze zur Verhinderung von Sicherheitsdefekten'''

Abstract:

Bestimmte Klassen von Sicherheitslücken, wie z.B. SQL Injection und XSS (Cross-Site Scripting) sind nach wie vor weit verbreitet. Dies ist unserer Ansicht nach darauf zurückzuführen, dass die zugrundeliegenden APIs (z.B. SQL Query APIs, oder APIs der Web Platform) die Einführung von API-spezifischen Programmierfehlern und Sicherheitslücken grundsätzlich ermöglichen. Da diese APIs in großen Entwicklungsprojekten typischerweise weitläufig benutzt werden, ist es zu erwarten, dass Entwickler in einigen dieser API-Aufrufe einen Fehler bezüglich der sicheren Benutzung der APIs machen (z.B., es versäumen, korrekte Datenvalidierung anzuwenden) und somit eine Sicherheitslücke einführen.

Um diesem Problem umfassend zu begegnen hat Google's Informationssicherheitsteam alternative APIs entwickelt, die so konzipiert sind, dass die Vermeidung von API-spezifischen Sicherheitsdefekten nicht mehr in der Verantwortung des Anwendungsentwicklers liegt, sondern Zuständigkeit der APIs und desser Implementierung ist.

Unsere Erfahrungen der letzten Jahre haben gezeigt dass dieser Ansatz auch in sehr komplexen Entwicklungsprojekten praktikabel ist, und zu signifikanter Reduzierung bestimmter Sicherheitsdefekte, insbesondere XSS, führen kann.

Bio:

Christoph Kern ist seit 2003 bei Google im Bereich Informations- und Anwendungssicherheit tätig. Er leitet dort seit 2012 ein Team, das sich darauf spezialisiert hat, Methoden des Software- und Framework-Designs zu entwickeln, die das Risiko der Einführung bestimmter Klassen von Sicherheitsdefekten (z.B., XSS und SQL Injection) drastisch reduzieren.

=== Lightning Talks ===

Erstmal dieses Jahr: Lightning Talks auf dem German OWASP Day - Fast, fun und (wenn möglich) mit Demo :)

* Björn Kimminich:. Hacking the Juice Shop ("So ein Saftladen!")
* Christian Mainka, Vladislav Mladenov and Tim Guenther: EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On
* Ralf Reinhardt: OWASP Secure Software Contract Annex auf Deutsch
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker

=== Technisches Programm ===

''Marcus Niemietz, Juraj Somorovsky and Christian Mainka:'' '''Not so Smart: On Smart TV Apps'''

One of the main characteristics of Smart TVs are apps. Apps extend the Smart TV behavior with various functionalities, ranging from usage of social networks or payed streaming services, to buying articles on Ebay. These actions demand usage of critical data like authentication tokens and passwords, and thus raise a question on new attack scenarios and general security of Smart TV apps.

In this paper, we investigate attack models for Smart TVs and their apps, and systematically analyze security of Smart TV devices. We point out that some popular apps, including Facebook, Ebay or Watchever, send login data over unencrypted
channels. Even worse, we show that an arbitrary app installed on devices of the market share leader Samsung can gain access to the credentials of a Samsung Single Sign-On account. Therefore, such an app can hijack a complete user account including all his devices like smartphones and tablets connected with it. Based on our findings, we provide recommendations that are of general importance and applicable to areas beyond Smart TVs, in other Internet of Things scenarios.

----

''Amir Alsbih:'' '''Praktische Erfahrungen aus der Applikationssicherheit'''

In diesem Vortrag sollen die praktischen Erfahrungen geteilt werden, die ich in den letzten 365 Tagen während meiner Tätigkeit als CISO gemacht habe. Dabei werden die wichtigsten Erkenntnissen aus Sicherheitsabnahmen, Audits und Projekten beschrieben. Durch das Aufzeigen der praktischen Realität über eine Vielzahl von Projekten mit unterschiedlichen Beteiligten, unterschiedlichen Größen und unterschiedlichen "Zielgruppen" soll verdeutlicht werden, wie wichtig Kontrollen und Konsequenzen sind.

----

''Michael Spreitzenbarth and Jennifer Bombien:'' '''Why Organisations should rely on Mobile AppTesting'''

The usage of mobile applications is increasing rapidly not only in the private sector but also within organisations. This paper is proposed to provide an overview of available testing solutions and help to answer the most demandable question: are those apps in question secure. Therefore, we will discuss the capabilities of all solutions and introduce a mobile application testing matrix. Within the final part of the presentation we will show some of our findings.

----

''Volker Hammer:'' '''Löschen können! Die DIN 66398 und die Entwicklung von Anwendungen'''

Das Löschen personenbezogener Daten wird vom BDSG gefordert. In der Praxis gibt es große Umsetzungsdefizite. Das hat zwei Ursachen: Die Löschregeln sind nicht definiert und es fehlen Löschmechanismen in Anwendungen. Der Beitrag motiviert, Löschen als eine normale Anforderung zu verstehen, die bereits zu Beginn von Entwicklungsprojekten berücksichtigt werden soll. Entwickler sollten deshalb für die Fragestellung sensibilisiert sein. Löschprojekte können außerdem positive Wirkungen nach sich ziehen, die weit über die Datenschutz-Anforderungen hinausgehen.

Um Löschregeln zu definieren, kann die Vorgehensweise der im September verabschiedeten DIN 66398 verwendet werden: Mit Hilfe von Standardfristen und Typen von Startzeitpunkten werden Löschklassen gebildet. Abgegrenzte Arten personenbezogener Daten können dann leicht in die Löschklassen eingeordnet werden. Daraus ergeben sich die Löschregeln mit je einem Startzeitpunkt und einer Regellöschfrist.

Mechanismen zur Löschung können sehr unterschiedlich implementiert werden. Entwurfsentscheidungen sind z.B. abhängig vom Verarbeitungsprozess, der Einbettung des Systems in die IT-Landschaft oder Datenvolumen. Beispiele für Implementierungsansätze sind:

* Transport-Files, Log-Files etc: dateibasiertes Löschen
* Massendatenverarbeitung: partitionieren von Tabellen nach Zeitscheiben und „Drop Table“
* Datensätze in Datenbanken: (SQL-)Statements auf Tabellen
* Attribut-Ebene: Überschreiben von Werten
* Objektorientierte Ansätze z.B.: Die Klasse „kennt“ die Regellöschfrist; über weitere Attribute kann der Startzeitpunkt und ein „aussetzen-Flag“ gesetzt werden. Über Methoden könnten die löschfälligen Datensätze identifiziert und dann auch gelöscht werden.

Allgemeine Anforderungen an Löschmechanismen:

* Die Löschfrist sollte konfigurierbar sein
* Der Mechanismus muss insgesamt ausgesetzt werden können.
* Je nach Datenart kann es notwendig sein, einzelne Datenobjekte zeitweise aus der Löschung auszunehmen
* Es sollte „sicher“ gelöscht werden.

Die Vorgehensweise kann auch für nicht-personenbezogene Daten angewandt werden. Nutzen – neben der datenschutzgerechten Gestaltung von Prozessen – kann sich ergeben, weil

* Geschäftsprozesse präzisiert werden
* Systeme und IT-Prozesse entkoppelt werden
* Vorgaben für die Datenhaltung getroffen werden
* überflüssige Daten aufgeräumt und Redundanzen abgebaut werden. Dadurch sinken Kosten für den IT-Betrieb und für Migrationen.

----

''Sebastian Lekies and Ben Stock:'' '''Your Scripts in My Page - What Could Possibly Go Wrong?'''

Viele moderne Webseiten generieren JavaScript code dynamisch zur Laufzeit. Dieser JavaScript Code enthält dabei häufig sensitive Benutzerdaten. Obwohl die Same-Origin Policy solche Daten vor Zugriffen Dritter schützt, können solche Scripte von anderen Webseiten eingebunden und zur Ausführung gebracht werden. Dies versetzt einen Angreifer in die Lage, eine sensitive JavaScript Datei zu laden und auszuführen während ein Opfer die Seite des Angreifers besucht. Indem der Angreifer die Seiteneffekte der Ausführung beobachtet, kann er auf die personenbezogenen Daten
im Script zugreifen.

Obwohl dieses Problem seit Jahren bekannt ist, wurden bisher weder Untersuchungen noch Schutzmaßnahmen egriffen. Um dieses Problem systematisch zu untersuchen präsentieren wir die Ergebnisse einer empirischen Studie. Dabei haben wir beobachtet, dass zirka ein Drittel aller untersuchten Webseiten, JavaScript Dateien dynamisch generiert und dass 80% dieser Seiten verwundbar gegen den gezeigten Angriff sind. Die gestohlenen Daten erlaubten es uns verschiedenste Angriffe durchzuführen. Die Spanne reichte von einfacher Deanonymisierung eines Web users bis hin zur kompletten Übernahme eines Benutzerkontos.

----

''Juraj Somorovsky:'' '''Practical Invalid Curve Attacks on TLS-ECDH'''

In the recent years, we saw resurrection of many new cryptographic attacks and their application to TLS. Examples give famous attacks like CRIME, BEAST or Lucky13. In our work, we continue this line of research and analyze another forgotten attack: invalid curve attack. Originally published in 2000, the attack is very powerful and allows one to extract private elliptic curve keys from servers using Elliptic Curve Diffie Hellman (ECDH). We analyzed 8 cryptographic libraries and found out that two out of these libraries are vulnerable to these attacks: Java crypto provider and Bouncy Castle.

----

''Christian Dresen and Sebastian Schinzel:'' '''Webschwachstellen im Internet of Things'''

Im Netz gibt es die verschiedensten Geräte, die IP sprechen, mit dem Internet verbunden sind und die teilweise haarsträubende Sicherheitslücken enthalten. Hierzu zählen unter anderem Router, Drucker, Telefone, Kameras, Fernseher und Handys. Der Softwareteil dieser Geräte steht meist als binäres proprietäres Firmware-Image auf den Hersteller-Webseiten zur Verfügung. Die meisten dieser Produkte können über eine Webschnittstelle konfiguriert werden, welche in den unterschiedlichsten Programmiersprachen, zum Beispiel C, lua, PHP oder Perl, geschrieben sind. Diese Webschnittstellen wurden meist unter völliger Missachtung jeglicher Best-Practices der OWASP-Richtlinien entwickelt.

Wir stellen ein neues Werkzeug vor, mit dem wir mittlerweile 1000 Firmwares automatisiert auf Sicherheitsschwachstellen untersucht haben. Dabei wurden einige kritische (und teilweise kuriose) Sicherheitslücken zu Tage gebracht hat. In dieser Präsentation geben wir einen Überblick über das Werkzeug und die von uns gefundenen Webschwachstellen.

----

''Alexios Fakos:'' '''IT-Sicherheitsgesetz und mögliche Effekte für die Software-Industrie'''

Allgemein bekannt ist, dass das verabschiedete IT-Sicherheitsgesetz in erster Linie Betreiber kritischer Infrastrukturen (KRITIS) betrifft. Diese werden zukünftig verpflichtet ein Mindestniveau an IT-Sicherheit einzuhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle zu melden.

Weniger bekannt ist, dass das IT-Sicherheitsgesetz auch Hard- und Software-Hersteller betrifft.

Der Vortrag fokussiert sich auf die Mitwirkungspflicht von Software-Hersteller hinsichtlich der Beseitigung von Sicherheitslücken und stellt denkbare Handlungsmöglichkeiten seitens Betreiber und Hersteller dar.

----

[https://www.owasp.org/index.php?title=German_OWASP_Day_2015 <top>] [[German_OWASP_Day_2015|<zurück>]] [[Germany|<Germany>]]

File:German OWASP Day 2015 Keynote Christian Rhino.pdf

2015-12-03T19:22:54Z

Bohem:

German OWASP Day 2015

2015-12-01T06:11:20Z

Bohem: "Heute" Headline aktualisiert

German OWASP Day 2015

2015-11-30T07:36:34Z

Bohem: Hinweis Vorabendveranstaltung / minor Edits zum Programm

German OWASP Day 2015

2015-11-27T13:30:40Z

Bohem: Begin 08:55. Vorabendevent ist im Preis enthalten

German OWASP Day 2015

2015-11-20T15:16:11Z

Bohem: Ausgebucht!! :-)

German OWASP Day 2015

2015-11-18T14:47:30Z

Bohem: /* Programm */ Keynote Titel in bold

German OWASP Day 2015

2015-11-18T14:46:14Z

Bohem: /* Programm */ Titel der Morning Keynote

German OWASP Day 2015

2015-11-18T14:42:14Z

Bohem: Fast ausgebucht!

German OWASP Day 2015

2015-11-16T12:26:31Z

Bohem: /* Online-Registrierung / Eintrittspreise */ Bewerbungsschluss für Studi-Freitickets

German OWASP Day 2015

2015-11-03T21:52:43Z

Bohem: Studentenfreitickets

German OWASP Day 2015

2015-11-03T21:40:38Z

Bohem:

German OWASP Day 2015

2015-11-03T21:39:35Z

Bohem: /* Online-Registrierung / Eintrittspreise */ Kontaktadresse hinzugefügt

German OWASP Day 2015/Programm

2015-11-02T12:13:54Z

Bohem: /* Vorläufige Agenda / Vorträge / Presentations */

[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]

__NOTOC__

[[Image:2015_owasp_day_w_480px.png|center|Logo 7ter German OWASP Day]]

== Vorläufige Agenda / Vorträge / Presentations ==

{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"
|-
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" |
 '''Dienstag, 01. Dezember 2015'''       Raum: '''Saalbau'''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' ''Boris Hemkemeier & Dirk Wetter''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''Morning Keynote: t.b.a''' ''Christian Rhino (Commerzbank)'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Not so Smart: On Smart TV Apps''' ''Marcus Niemietz, Juraj Somorovsky and Christian Mainka'' 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Your Scripts in My Page - What Could Possibly Go Wrong?''' ''Sebastian Lekies and Ben Stock''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Why Organisations should rely on Mobile AppTesting''' ''Michael Spreitzenbarth and Jennifer Bombien''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Löschen können! Die DIN 66398 und die Entwicklung von Anwendungen''' ''Volker Hammer''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''Technical Keynote: t.b.a.''' ''Christoph Kern (Google)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Practical Invalid Curve Attacks on TLS-ECDH''' ''Juraj Somorovsky''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks''' 
* Björn Kimminich:. Hacking the Juice Shop ("So ein Saftladen!")
* Christian Mainka, Vladislav Mladenov and Tim Guenther: EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On
* Ralf Reinhardt: OWASP Secure Software Contract Annex auf Deutsch
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker

|-
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Webschwachstellen im Internet of Things''' ''Christian Dresen and Sebastian Schinzel''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''IT-Sicherheitsgesetz und mögliche Effekte für die Software-Industrie''' ''Alexios Fakos''
|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Praktische Erfahrungen aus der Applikationssicherheit''' ''Amir Alsbih''
|-
|}

== Details zu den Vorträgen ==


=== Keynotes ===

* Christian Rhino (Commerzbank): t.b.a
* Christoph Kern (Google): t.b.a

=== Lightning Talks ===

Erstmal dieses Jahr: Lightning Talks auf dem German OWASP Day - Fast, fun und (wenn möglich) mit Demo :)

* Björn Kimminich:. Hacking the Juice Shop ("So ein Saftladen!")
* Christian Mainka, Vladislav Mladenov and Tim Guenther: EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On
* Ralf Reinhardt: OWASP Secure Software Contract Annex auf Deutsch
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker

=== Technisches Programm ===

''Marcus Niemietz, Juraj Somorovsky and Christian Mainka:'' '''Not so Smart: On Smart TV Apps'''

One of the main characteristics of Smart TVs are apps. Apps extend the Smart TV behavior with various functionalities, ranging from usage of social networks or payed streaming services, to buying articles on Ebay. These actions demand usage of critical data like authentication tokens and passwords, and thus raise a question on new attack scenarios and general security of Smart TV apps.

In this paper, we investigate attack models for Smart TVs and their apps, and systematically analyze security of Smart TV devices. We point out that some popular apps, including Facebook, Ebay or Watchever, send login data over unencrypted
channels. Even worse, we show that an arbitrary app installed on devices of the market share leader Samsung can gain access to the credentials of a Samsung Single Sign-On account. Therefore, such an app can hijack a complete user account including all his devices like smartphones and tablets connected with it. Based on our findings, we provide recommendations that are of general importance and applicable to areas beyond Smart TVs, in other Internet of Things scenarios.

----

''Amir Alsbih:'' '''Praktische Erfahrungen aus der Applikationssicherheit'''

In diesem Vortrag sollen die praktischen Erfahrungen geteilt werden, die ich in den letzten 365 Tagen während meiner Tätigkeit als CISO gemacht habe. Dabei werden die wichtigsten Erkenntnissen aus Sicherheitsabnahmen, Audits und Projekten beschrieben. Durch das Aufzeigen der praktischen Realität über eine Vielzahl von Projekten mit unterschiedlichen Beteiligten, unterschiedlichen Größen und unterschiedlichen "Zielgruppen" soll verdeutlicht werden, wie wichtig Kontrollen und Konsequenzen sind.

----

''Michael Spreitzenbarth and Jennifer Bombien:'' '''Why Organisations should rely on Mobile AppTesting'''

The usage of mobile applications is increasing rapidly not only in the private sector but also within organisations. This paper is proposed to provide an overview of available testing solutions and help to answer the most demandable question: are those apps in question secure. Therefore, we will discuss the capabilities of all solutions and introduce a mobile application testing matrix. Within the final part of the presentation we will show some of our findings.

----

''Volker Hammer:'' '''Löschen können! Die DIN 66398 und die Entwicklung von Anwendungen'''

Das Löschen personenbezogener Daten wird vom BDSG gefordert. In der Praxis gibt es große Umsetzungsdefizite. Das hat zwei Ursachen: Die Löschregeln sind nicht definiert und es fehlen Löschmechanismen in Anwendungen. Der Beitrag motiviert, Löschen als eine normale Anforderung zu verstehen, die bereits zu Beginn von Entwicklungsprojekten berücksichtigt werden soll. Entwickler sollten deshalb für die Fragestellung sensibilisiert sein. Löschprojekte können außerdem positive Wirkungen nach sich ziehen, die weit über die Datenschutz-Anforderungen hinausgehen.

Um Löschregeln zu definieren, kann die Vorgehensweise der im September verabschiedeten DIN 66398 verwendet werden: Mit Hilfe von Standardfristen und Typen von Startzeitpunkten werden Löschklassen gebildet. Abgegrenzte Arten personenbezogener Daten können dann leicht in die Löschklassen eingeordnet werden. Daraus ergeben sich die Löschregeln mit je einem Startzeitpunkt und einer Regellöschfrist.

Mechanismen zur Löschung können sehr unterschiedlich implementiert werden. Entwurfsentscheidungen sind z.B. abhängig vom Verarbeitungsprozess, der Einbettung des Systems in die IT-Landschaft oder Datenvolumen. Beispiele für Implementierungsansätze sind:

* Transport-Files, Log-Files etc: dateibasiertes Löschen
* Massendatenverarbeitung: partitionieren von Tabellen nach Zeitscheiben und „Drop Table“
* Datensätze in Datenbanken: (SQL-)Statements auf Tabellen
* Attribut-Ebene: Überschreiben von Werten
* Objektorientierte Ansätze z.B.: Die Klasse „kennt“ die Regellöschfrist; über weitere Attribute kann der Startzeitpunkt und ein „aussetzen-Flag“ gesetzt werden. Über Methoden könnten die löschfälligen Datensätze identifiziert und dann auch gelöscht werden.

Allgemeine Anforderungen an Löschmechanismen:

* Die Löschfrist sollte konfigurierbar sein
* Der Mechanismus muss insgesamt ausgesetzt werden können.
* Je nach Datenart kann es notwendig sein, einzelne Datenobjekte zeitweise aus der Löschung auszunehmen
* Es sollte „sicher“ gelöscht werden.

Die Vorgehensweise kann auch für nicht-personenbezogene Daten angewandt werden. Nutzen – neben der datenschutzgerechten Gestaltung von Prozessen – kann sich ergeben, weil

* Geschäftsprozesse präzisiert werden
* Systeme und IT-Prozesse entkoppelt werden
* Vorgaben für die Datenhaltung getroffen werden
* überflüssige Daten aufgeräumt und Redundanzen abgebaut werden. Dadurch sinken Kosten für den IT-Betrieb und für Migrationen.

----

''Sebastian Lekies and Ben Stock:'' '''Your Scripts in My Page - What Could Possibly Go Wrong?'''

Viele moderne Webseiten generieren JavaScript code dynamisch zur Laufzeit. Dieser JavaScript Code enthält dabei häufig sensitive Benutzerdaten. Obwohl die Same-Origin Policy solche Daten vor Zugriffen Dritter schützt, können solche Scripte von anderen Webseiten eingebunden und zur Ausführung gebracht werden. Dies versetzt einen Angreifer in die Lage, eine sensitive JavaScript Datei zu laden und auszuführen während ein Opfer die Seite des Angreifers besucht. Indem der Angreifer die Seiteneffekte der Ausführung beobachtet, kann er auf die personenbezogenen Daten
im Script zugreifen.

Obwohl dieses Problem seit Jahren bekannt ist, wurden bisher weder Untersuchungen noch Schutzmaßnahmen egriffen. Um dieses Problem systematisch zu untersuchen präsentieren wir die Ergebnisse einer empirischen Studie. Dabei haben wir beobachtet, dass zirka ein Drittel aller untersuchten Webseiten, JavaScript Dateien dynamisch generiert und dass 80% dieser Seiten verwundbar gegen den gezeigten Angriff sind. Die gestohlenen Daten erlaubten es uns verschiedenste Angriffe durchzuführen. Die Spanne reichte von einfacher Deanonymisierung eines Web users bis hin zur kompletten Übernahme eines Benutzerkontos.

----

''Juraj Somorovsky:'' '''Practical Invalid Curve Attacks on TLS-ECDH'''

In the recent years, we saw resurrection of many new cryptographic attacks and their application to TLS. Examples give famous attacks like CRIME, BEAST or Lucky13. In our work, we continue this line of research and analyze another forgotten attack: invalid curve attack. Originally published in 2000, the attack is very powerful and allows one to extract private elliptic curve keys from servers using Elliptic Curve Diffie Hellman (ECDH). We analyzed 8 cryptographic libraries and found out that two out of these libraries are vulnerable to these attacks: Java crypto provider and Bouncy Castle.

----

''Christian Dresen and Sebastian Schinzel:'' '''Webschwachstellen im Internet of Things'''

Im Netz gibt es die verschiedensten Geräte, die IP sprechen, mit dem Internet verbunden sind und die teilweise haarsträubende Sicherheitslücken enthalten. Hierzu zählen unter anderem Router, Drucker, Telefone, Kameras, Fernseher und Handys. Der Softwareteil dieser Geräte steht meist als binäres proprietäres Firmware-Image auf den Hersteller-Webseiten zur Verfügung. Die meisten dieser Produkte können über eine Webschnittstelle konfiguriert werden, welche in den unterschiedlichsten Programmiersprachen, zum Beispiel C, lua, PHP oder Perl, geschrieben sind. Diese Webschnittstellen wurden meist unter völliger Missachtung jeglicher Best-Practices der OWASP-Richtlinien entwickelt.

Wir stellen ein neues Werkzeug vor, mit dem wir mittlerweile 1000 Firmwares automatisiert auf Sicherheitsschwachstellen untersucht haben. Dabei wurden einige kritische (und teilweise kuriose) Sicherheitslücken zu Tage gebracht hat. In dieser Präsentation geben wir einen Überblick über das Werkzeug und die von uns gefundenen Webschwachstellen.

----

''Alexios Fakos:'' '''IT-Sicherheitsgesetz und mögliche Effekte für die Software-Industrie'''

Allgemein bekannt ist, dass das verabschiedete IT-Sicherheitsgesetz in erster Linie Betreiber kritischer Infrastrukturen (KRITIS) betrifft. Diese werden zukünftig verpflichtet ein Mindestniveau an IT-Sicherheit einzuhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle zu melden.

Weniger bekannt ist, dass das IT-Sicherheitsgesetz auch Hard- und Software-Hersteller betrifft.

Der Vortrag fokussiert sich auf die Mitwirkungspflicht von Software-Hersteller hinsichtlich der Beseitigung von Sicherheitslücken und stellt denkbare Handlungsmöglichkeiten seitens Betreiber und Hersteller dar.

----

== Downloads ==
(Hier werden die Vorträge zu finden sein, sobald die Slides der Autoren vorliegen)

[https://www.owasp.org/index.php?title=German_OWASP_Day_2015 <top>] [[German_OWASP_Day_2015|<zurück>]] [[Germany|<Germany>]]

German OWASP Day 2015

2015-10-30T14:32:01Z

Bohem: /* Online-Registrierung / Eintrittspreise */ Hinweis auf Rechnungsdownload

German OWASP Day 2015

2015-10-24T08:59:13Z

Bohem: /* Wann + Wo */

German OWASP Day 2015

2015-10-24T08:58:10Z

Bohem: /* German OWASP Day 2015 / Deutscher OWASP-Tag 2015 */

German OWASP Day 2015

2015-10-24T08:52:00Z

Bohem: /* German OWASP Day 2015 / Deutscher OWASP-Tag 2015 */

German OWASP Day 2015

2015-10-24T08:51:15Z

Bohem: /* Online-Registrierung / Eintrittspreise */

German OWASP Day 2015

2015-10-24T08:03:48Z

Bohem: /* Unsere Sponsoren */

German OWASP Day 2015

2015-10-24T08:01:41Z

Bohem:

German OWASP Day 2015

2015-10-24T07:51:10Z

Bohem: /* Online-Registrierung / Eintrittspreise */ Hinweis auf mögliche Rechnungsstellung.

German OWASP Day 2015

2015-10-23T21:49:06Z

Bohem:

German OWASP Day 2015

2015-10-23T21:43:01Z

Bohem: Social Event hinzugefügt. Registrierung scharf geschaltet.

German OWASP Day 2015

2015-10-23T21:26:31Z

Bohem: /* Online-Registrierung / Eintrittspreise */