https://wiki.owasp.org/api.php?action=feedcontributions&feedformat=atom&user=Ingo+HankeOWASP - User contributions [en]2026-05-16T09:13:33ZUser contributionsMediaWiki 1.27.2https://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=234289German OWASP Day 20172017-10-11T12:40:46Z<p>Ingo Hanke: reg gestartet (Teil 2)</p>
<hr />
<div>Der Vorverkauf ist gestartet: '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 (https://www.owasp.org/index.php/German_OWASP_Day_2017) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im &#8594; <u>[https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet]</u> bzw. Information in English &#8594; <u>[https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english]</u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" style="width: 80%;" border="0" align="center"<br />
|-<br />
| colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" align="left" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" align="left" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Keynote: '''t.b.a''' <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Cheat Sheet Workshop'''<br>''t.b.a''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Juice Shop 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): t.b.a. ===<br />
<br />
''Abstract:'' t.b.a.<br />
<br />
----<br />
<br />
Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets''''<br />
<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf ist gestartet: '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=234288German OWASP Day 20172017-10-11T12:39:17Z<p>Ingo Hanke: Reg gestartet</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 (https://www.owasp.org/index.php/German_OWASP_Day_2017) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im &#8594; <u>[https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet]</u> bzw. Information in English &#8594; <u>[https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english]</u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" style="width: 80%;" border="0" align="center"<br />
|-<br />
| colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" align="left" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" align="left" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Keynote: '''t.b.a''' <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Cheat Sheet Workshop'''<br>''t.b.a''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Juice Shop 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): t.b.a. ===<br />
<br />
''Abstract:'' t.b.a.<br />
<br />
----<br />
<br />
Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets''''<br />
<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf ist gestartet: '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=234287German OWASP Day 20172017-10-11T12:34:30Z<p>Ingo Hanke: Registrierung ergänzt</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 (https://www.owasp.org/index.php/German_OWASP_Day_2017) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im &#8594; <u>[https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet]</u> bzw. Information in English &#8594; <u>[https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english]</u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" style="width: 80%;" border="0" align="center"<br />
|-<br />
| colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" align="left" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" align="left" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Keynote: '''t.b.a''' <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Cheat Sheet Workshop'''<br>''t.b.a''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Juice Shop 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): t.b.a. ===<br />
<br />
''Abstract:'' t.b.a.<br />
<br />
----<br />
<br />
Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets''''<br />
<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
=== Der Vorverkauf ist gestartet: '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]''' ===<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=Germany/Assets&diff=230801Germany/Assets2017-06-19T16:05:12Z<p>Ingo Hanke: /* Was wir haben */</p>
<hr />
<div><br />
[[Image:owasp_germany_logo.png|right]]<br />
----<br />
<br />
== Was wir haben ==<br />
<br />
{| class="FCK__ShowTableBorders" style="background-color:inherit;" width="100%" border="1" align="center"<br />
|-<br />
|'''Asset'''<br />
|'''Kosten'''<br />
|'''Beschreibung'''<br />
|'''Zuständig'''<br />
|-<br />
|Leinwand<br />
|79,90<br />
|für Vorträge beim Stammtisch München<br />
|Torsten Gigler<br />
|}<br />
----<br />
[[Germany|<Germany>]]<br />
[https://www.owasp.org/index.php?title=Germany/Projekte <top>] [[Germany|<zurück>]] [[Germany|<Germany>]]<br />
<br />
[[Category:OWASP Chapter]] <br />
[[Category:Germany]] <br />
[[Category:Speaker]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=User:Ingo_Hanke&diff=229398User:Ingo Hanke2017-05-04T08:04:00Z<p>Ingo Hanke: bio</p>
<hr />
<div>Participating at OWASP (German chapter) since 2005, OWASP member since 2010.<br />
<br />
Member of "German OWASP TOP 10" group<br />
<br />
Member of "OWASP TOP 10 for developer" group<br />
<br />
Treasurer of German Chapter since 2015<br />
<br />
Co-organizer of "German OWASP Day" since 2013</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=225156German OWASP Day 20162017-01-16T16:20:27Z<p>Ingo Hanke: </p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security: Facing Information Security Threats''' <br> ''Tobias Millauer (Daimler)'' [[Media:GOD16-Daimler.pdf|(slides)]]<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' [[Media:GOD16-Deserialization.pdf|(slides)]] <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke'' [[Media:GOD16-WASE.pdf|(slides)]]<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk'' [[Media:GOD16-Angularboot.pptx|(slides)]]<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Reverse Engineering Android Apps With CodeInspect'''<br> ''Siegfried Rasthofer''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel'' [[Media:GOD16-NOSQL.pdf|(slides)]]<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun: Der Secure Development Lifecycle in der agilen Praxis <br />
* Björn Kimminich: What's new in OWASP Juice Shop? [[Media:GOD16-Juice.pdf|(slides)]]<br />
* Juraj Somorovsky: TLS-Attacker (Systematic Fuzzing and Testing of TLS Libraries) [[Media:GOD16-Jurai.pdf|(slides)]]<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr'' [[Media:GOD16-agiletesting.pptx|(slides)]]<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel'' <!--[[Media:GOD16-DROWN.pdf|(slides)]]--><br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: CarIT Security: Facing Information Security Threats ===<br />
<br />
''Abstract:'' The principal objective of this keynote is to demonstrate existing frameworks, tools and methodologies to face automotive cyber security threats. The main threat for automobile manufacturers is that the car architecture has not been designed for Internet access, whereas in recent years, internet access has been added retrospectively on top of the traditional architecture. Automobiles are nowadays cyber-physical systems, whereby new challenges arise since technologies and development methods for safety are not applicable for security. Information security processes of connected cars have an impact on customer satisfaction as CarIT Security protects the life of vehicle occupants and privacy ensures data protection of personally identifiable information. The role of information security must be to ensure transparency across the threats, whereby the Board of Management must be put in a position to recognize information security threats. Information Security Risk Management provides the opportunity to raise the required management attention.<br />
<br />
''Bio:'' Tobias Millauer is an Information Security Architect CarIT at Daimler’s Global Information Security department, where he advises projects on CarIT Security and ensures CarIT Security Governance. He studied IT Security at the University of Applied Sciences St. Pölten and the Bern University of Applied Sciences. His bachelor thesis examined how business growth through information security will be achieved for automobile manufacturers. Millauer is currently working towards his Master's degree in Information Security Management at University of Applied Sciences Hagenberg with focus on Corporate Governance and Risk Management.<br />
<br />
----<br />
<br />
'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br />
<br />
''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.<br />
<br />
In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.<br />
<br />
----<br />
<br />
'''Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle'''<br />
<br />
''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren. <br />
<br />
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures. <br />
<br />
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.<br />
<br />
----<br />
<br />
'''Matthias Rohr: Sicherheit agil Testen'''<br />
<br />
''Abstract:'' Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden. <br />
<br />
Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints. <br />
<br />
In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen.<br />
<br />
----<br />
<br />
'''Andreas Falk: Sicher in die Cloud mit Angular 2 und Spring Boot'''<br />
<br />
''Abstract:'' Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt.<br />
Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht.<br />
Doch wie steht es um die Sicherheit derartiger Anwendungen?<br />
Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen.<br />
Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend.<br />
Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.<br />
<br />
---- <br />
<br />
'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br />
<br />
''Abstract:'' Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten. <br />
<br />
Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden. <br />
<br />
In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben. <br />
<br />
----<br />
<br />
'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br />
<br />
''Abstract:'' Content Security Policy is a web platform mechanism designed <br />
to mitigate cross-site scripting (XSS), the top security <br />
vulnerability in modern web applications [24]. In this talk, <br />
we take a closer look at the practical benefits of adopting <br />
CSP and identify significant flaws in real-world deployments <br />
that result in bypasses in 94.72% of all distinct policies. <br />
We base our Internet-wide analysis on a search engine corpus <br />
of approximately 100 billion pages from over 1 billion <br />
hostnames; the result covers CSP deployments on 1,680,867 <br />
hosts with 26,011 unique CSP policies – the most comprehensive <br />
study to date. We introduce the security-relevant <br />
aspects of the CSP specification and provide an in-depth <br />
analysis of its threat model, focusing on XSS protections. <br />
We identify three common classes of CSP bypasses and explain <br />
how they subvert the security of a policy. <br />
We then turn to a quantitative analysis of policies deployed <br />
on the Internet in order to understand their security <br />
benefits. We observe that 14 out of the 15 domains <br />
most commonly whitelisted for loading scripts contain unsafe <br />
endpoints; as a consequence, 75.81% of distinct policies <br />
use script whitelists that allow attackers to bypass CSP. In <br />
total, we find that 94.68% of policies that attempt to limit <br />
script execution are ineffective, and that 99.34% of hosts <br />
with CSP use policies that offer no benefit against XSS. <br />
Finally, we propose the ’strict-dynamic’ keyword, an <br />
addition to the specification that facilitates the creation of <br />
policies based on cryptographic nonces, without relying on <br />
domain whitelists. We discuss our experience deploying such <br />
a nonce-based policy in a complex application and provide <br />
guidance to web authors for improving their policies.<br />
<br />
----<br />
<br />
'''Christian Schneider. Java Deserialization Attacks: Angriff & Verteidigung'''<br />
<br />
''Abstract:'' Dieser Talk gibt einen fundierten Überblick über den aktuellen Stand zum Thema Angriffe auf Java Deserialisierung: Nach einer kurzen Analyse des Grundproblems hinter der Verwundbarkeit am Beispiel realer Gadgets lernen Sie die mittlerweile verfügbaren Exploitation-Werkzeuge zur Ausnutzung von Deserialization-Endpoints kennen. Weiterhin werden wertvolle Tipps zum Auffinden von Gadgets und Endpoints mittels statischer Analyse (SAST) sowie dynamisch bei Pentests (DAST) vermittelt. <br />
<br />
Der defensive Part des Talks widmet sich den Möglichkeiten zur Absicherung: Am Beispiel von Bypässen bestimmter Härtungsmaßnahmen werden deren Wirkungsgrade analysiert. Abschließend zeige ich, dass das Thema Java Deserialisierung nicht nur Java direkt betrifft, sondern auch auf der JVM verfügbare andere Sprachen. <br />
<br />
----<br />
<br />
'''Patrick Spiegel. NoSQL Injection revisited'''<br />
<br />
''Abstract:'' In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges, but do they provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “<br />
This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases – MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kinds of requests can be crafted that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.<br />
<br />
----<br />
<br />
'''Siegfried Rasthofer: Reverse Engineering Android Apps With CodeInspect'''<br />
<br />
''Abstract:'' Android malware is getting more and more sophisticated. To impede analysis, modern malware families use various anti-analysis techniques such as packers, detectors for emulators or tamper detection mechanisms. Current static code-analysis tools quickly reach their limits with heavily obfuscated code. Dynamic code analysis tools, on the other hand, are frequently tricked by emulator detection. If malware applications use such techniques in combination, this can causes many automatic code-analysis tools to fail, due to their intrinsic limitations, leaving a manual analysis as the only viable option - a very difficult and time-consuming undertaking.<br />
<br />
To alleviate the problem, we propose CodeInspect, a new integrated reverse-engineering environment targeting sophisticated state-of-the-art malware apps for Android. With features such as interactive debugging on a human readable representation of the application’s bytecode, CodeInspect aims to greatly reduce the time an analyst requires to understand and judge applications. Using CodeInspect, the engineer can debug the app live, can rename (obfuscated) identifiers, jump to definitions, remove or add statements and more. It further includes extensions for a fully-automatic de-obfuscation of reflective method calls, string de-obfuscation and a very precise dataflow tracking component that shows suspicious flows from sensitive sources to public sinks, all of which can be easily used in combination.<br />
<br />
In this talk, we will introduce CodeInspect and give a live demo on analyzing current malicious applications containing cutting-edge anti-analysis techniques.<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=222466German OWASP Day 20162016-10-18T08:22:39Z<p>Ingo Hanke: </p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
===[https://www.regonline.com/owaspgermanday2016 Die Registrierung ist eröffnet!]===<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
<!--<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
Sponsoren: bitte 3-spaltige Tabelle benutzen, damit genuegend Abstand zwischen den Bildern<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| --><br />
<!-- <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
--><br />
<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
<br />
<!-- <br />
== Programm mit Präsentationen zum Download ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2016''' &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Raum: '''...'''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>'' ... ''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | <br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
|-<br />
|}<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
===[https://www.regonline.com/owaspgermanday2016 !!! Die Registrierung ist eröffnet !!!]===<br />
<br />
Da wir auch dieses Jahr eine beschränkte Teilnehmerzahl von 150 haben, ist es ratsam, sich umgehend anzumelden. <br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=222465German OWASP Day 20162016-10-18T07:30:37Z<p>Ingo Hanke: </p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
===[https://www.regonline.com/owaspgermanday2016 Die Registrierung ist eröffnet!]===<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
<!--<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
Sponsoren: bitte 3-spaltige Tabelle benutzen, damit genuegend Abstand zwischen den Bildern<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| --><br />
<!-- <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
--><br />
<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
<br />
<!-- <br />
== Programm mit Präsentationen zum Download ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2016''' &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Raum: '''...'''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>'' ... ''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | <br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
|-<br />
|}<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
===[https://www.regonline.com/owaspgermanday2016 !!! Die Registrierung ist eröffnet !!!]===<br />
<br />
Da wir auch dieses Jahr eine beschränkte Teilnehmerzahl von 150 haben, ist es ratsam sich sofort anzumelden. <br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=221898German OWASP Day 20162016-09-29T11:09:05Z<p>Ingo Hanke: </p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Wir sind jetzt offen für Einreichungen. Alle Details finden sich im [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call For Presentations].<br />
<br />
<br />
<!--<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
Sponsoren: bitte 3-spaltige Tabelle benutzen, damit genuegend Abstand zwischen den Bildern<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| --><br />
<!-- <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
--><br />
<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u>, Rheinstraße 75, 64295 Darmstadt - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
<!-- <br />
== Programm mit Präsentationen zum Download ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2016''' &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Raum: '''...'''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>'' ... ''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | <br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
|-<br />
|}<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
Die Registrierung öffnet Anfang Oktober und wird rechtzeitig angekündigt. <br />
<br />
Preis: tba. bei allen Tickets ist die Vorabendveranstaltung inbegriffen. <br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
--><br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
<br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* Boris Hemkemeier<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=Germany&diff=193400Germany2015-04-15T07:58:56Z<p>Ingo Hanke: </p>
<hr />
<div>__NOTOC__<br />
<br />
<br />
{{Chapter Template|chaptername=Germany<br />
|extra=[[Image:owasp_germany_logo.png|right]]<br />
<br />
The chapter leader is [mailto:dirk@owasp.org Dirk Wetter].<br />
<br />
Chapter Board members are:<br />
[mailto:achim@owasp.org Achim Hoffmann],<br />
[mailto:alexios.fakos@owasp.org Alexios Fakos],<br />
[mailto:?? Bastian Braun],<br />
[mailto:boris@owasp.org Boris],<br />
[mailto:?? Hartwig Gelnhausen],<br />
[mailto:ingo.hanke@owasp.org Ingo Hanke],<br />
[mailto:?? Jan Philipp],<br />
[mailto:?? Jan Wolff],<br />
[mailto:kai@owasp.org Kai Jendrian],<br />
[mailto:?? Martin Johns],<br />
[mailto:michael.schaefer@owasp.org Michael Schäfer],<br />
[mailto:?? Patrick Sauer],<br />
[mailto:tobias.glemser@owasp.org Tobias Glemser],<br />
[mailto:tom.schoen@owasp.org Tom Schoen].<br />
<br />
;Twitter: [https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de] <br />
;Mailing-Liste: <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org]</u> <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u><br />
<br />
<br />
==Über OWASP==<br />
OWASP ist eine unabhängige, weltweite Community – formal eine unternehmensunabhängige Non-Profit-Organisation nach §501c3 – mit Hauptsitz in den USA. Ziel des OWASP ist die Unterstützung von Unternehmen und Organisationen bei der Entwicklung und beim Betrieb sicherer Webanwendungen und das «Sichtbar-Machen» der Bedeutung der Sicherheit von Webanwendungen. <br />
<br />
Sämtliche OWASP-Instrumente, wie Dokumente, Foren oder die jeweiligen Länder-Chapters stehen kostenlos allen zur Verfügung, die daran interessiert sind, die Sicherheit von Webanwendungen zu erhöhen. <br />
<br />
Die Community ist frei und offen und heißt alle Interessierten sowie Wissens- und Erfahrungsträger herzlich willkommen. Zwanglos kann dies z. B. im Rahmen der [[OWASP_German_Chapter_Stammtisch_Initiative|OWASP Stammtische]] erfolgen, die regelmäßig in vielen deutschen Großstädten stattfinden. <br />
<span style="color: white; text-decoration:"><br />
|emailarchives=https://lists.owasp.org/pipermail/owasp-germany<br />
</span>}}<br />
----<br />
<!-- Top News: auf hellblauem Hintergrund ganz oben auf der Seite --><br />
<div style="background-color:rgb(153,204,255);margin:2em;padding-left:1em;"><br />
<big style="padding:1em;">'''German Chapter Meeting ...'''<br />
<br />
... Termin in Kürze<br />
</big></div><br />
----<br />
<br />
==== OWASP German Chapter Sponsorships ====<br />
<br />
<!-- Sponsoren: bitte 3-spaltige Tabelle benutzen, damit genuegend Abstand zwischen den Bildern --><br />
{| width="99%" style="background-color:inherit;"<br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]<br />
|-<br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
| [[Image:Cyberday-logo_8700px_square.png|link=https://www.cyberday-gmbh.de|www.cyberday-gmbh.de]]<br />
|-<br />
| [[Image:Banner_TUViT.png|link=https://www.tuvit.de/de|www.tuvit.de]]<br />
| [[Image:xcellent_8700px.png|link=http://www.x-cellent.com|www.x-cellent.com]]<br />
|-<br />
| [[Image:antago_logo.png|link=https://www.antago.info/|www.antago.info]]<br />
| [[Image:xing_logo.png|link=https://corporate.xing.com/english/company/security-at-xing/|www.xing.com]]<br />
|-|<br />
|-<br />
| [[Image:acunetix_max_8700px.png|link=https://www.acunetix.com/|www.acunetix.com]]<br />
| [[Image:binsec.png|link=http://www.binsec.de/|www.binsec.de]]<br />
|-|<br />
|<br />
|<br />
|}<br />
<br />
Unser Angebot an Sponsoren / Offer for Chapter Sponsors: <u>[[Germany/Chaptersponsor|OWASP German Chapter Sponsorship]]</u>.<br />
<br />
<br />
== '''OWASP German Chapter''' ==<br />
<br />
<br />
;Mitstreiter: Wir suchen engagierte Personen, die das German Chapter als Ansprechpartner für Firmen und Branchen vertreten. Weitere Details folgen in Kürze hier.<br />
----<br />
<br />
{| width="100%" style="background-color:inherit;"<br />
| style="vertical-align:top; padding-right:0.5em;" |<br />
=== Aktuelles ===<br />
---- <br />
;23.01.2015: Übesetzung der '''OWASP Top 10 von 2013''' in Deutsch <u>[[Germany/Projekte/Top_10|OWASP Top 10: Deutsche Übersetzung]]</u><br />
;09.12.2014: [[Image:2014_owasp_day_w_480px.png|400px|center|link=/German_OWASP_Day_2014|Logo 6th German OWASP Day]]<br />
:<u>[[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]</u><br />
;14.03.2014: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind <u>[[Germany/Chapter_Meetings|hier]]</u> zu finden.<br />
;20. - 23.08.2013: [[File:Logo AppSecEU2013-Nr3backg50.png|798px|center|link=https://owasp.org/index.php/AppSecEU2013|(original photo from IqRS)]] Das German Chapter veranstaltete die <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
;10.08.2013: Partnerschaft mit dem <u>[http://www.isaca.de/ ISACA Germany Chapter e.V.]</u>: Zum Nutzen für Mitgleider beider Seiten wurde mit dem ISACA Germany Chapter e.V. eine Partnerschaft geschlossen. Die Partnerschaft ermöglicht es Mitgliedern des ISACA Germany Chapter e.V. an der OWASP AppSec Research 2013 zu vergünsigten Konditionen teilzunehmen. Das OWASP German Chapter erhält Gelegenheit auf ISACA Konferenzen präsent zu sein. Wir freuen uns sehr auf die Partnerschaft.<br />
;01.07.2013: Programm für AppSec Research EU 2013 ist <u>[http://owaspappseceu2013.sched.org/ online]</u> <!-- http://sched.appsec.eu/ ist Tracking-Seite, grrrr --><br />
;10.06.2013: Regestrierung für AppSec Research EU 2013 ist hier <u>[https://appsec.eu/registration/ https://appsec.eu/registration/]</u> .<br />
;17.05.2013: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind <u>[[Germany/Chapter_Meetings|hier]]</u> zu finden.<br />
;22.02.2013: German Chapter Meeting findet am '''17.05.2013''' in Frankfurt statt.<br />
;5.12.2012: Das German Chapter veranstaltet die <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
: The German Chapter is proud announcing <u>[[AppSecEU2013|date and location]]</u> of AppSecEU 2013.<br />
;10.11.2012: <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]:</u> Die hochrangige Websicherheitskonferenz war ein voller Erfolg: Dank gilt allen Besuchern -- gut ein Drittel mehr als letztes Jahr -- Sprechern und Sponsoren.<br />
;07.11.2012: <u>[[Germany/Chaptersponsor|Chapter Sponsorsing]]</u> möglich.<br />
;03.11.2012: Webseite des [[Germany|OWASP German Chapter]] neu strukturiert.<br />
;10.09.2012: <u>[[German_OWASP_Day_2012/Programm|Programm]]</u> für <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u> in München am 7.11.2012 steht<br />
;13.07.2012: Am Ende der AppSecEU 2012 wurde offiziell verkündet, dass das Deutsche Chapter die AppSecEU Research 2013 hostet. Ort Hamburg, Zeit: Juli <br />
;02.05.2012: Call for Presentations offen für <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u>. Ort: München, Zeit: 7.11.2012<br />
<br />
| width="30%" style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |<br />
<br />
=== News ===<br />
----<br />
German translation: <u>[[Germany/Projekte/Top_10|OWASP Top 10: Deutsche Übersetzung]]</u><br />
<br />
<u>[[German_OWASP_Day_2014|German OWASP Day 2014]]</u>.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
The German Chapter is proud having organised <u>[[AppSecEU2013|date and location]]</u> AppSecEU 2013.<br />
(see left side)<br />
<br />
|-<br />
| style="vertical-align:top; padding-right:0.5em;" |<br />
Ältere Nachrichten sind <u>[[Germany/Aktuelles|hier]]</u> archiviert.<br />
<br />
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |<br />
Old news (what a nice name :-) can be found <u>[[Germany/Aktuelles|here]]</u>.<br />
<br />
|-<br />
| style="vertical-align:top; padding-right:0.5em;" |<br />
<br />
=== Unsere Konferenzen ===<br />
----<br />
;09.12.2014 [[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]<br />
;20. - 23.08.2013: Das German Chapter veranstaltet die <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
;7.11.2012: <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u> in München<br />
<br />
Eine Liste aller vom OWASP German Chapter durchgeführten Konferenzen ist <u>[[Germany/Konferenzen|hier]]</u> zu finden.<br />
<br />
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |<br />
<br />
=== German Conferences ===<br />
----<br />
;20. - 23.08.2013: The German Chapter is proud announcing <u>[[AppSecEU2013|date and location]]</u> of AppSecEU 2013.<br />
<br />
<br />
A list of conferences organized by the OWASP German Chapter can be found <u>[[Germany/Konferenzen|here]]</u>.<br />
<br />
|-<br />
| style="vertical-align:top; padding-right:0.5em;" |<br />
<br />
=== Projekte des German Chapter ===<br />
----<br />
Das German Chapter initiiert oder beteiligt sich an <u>[[:Category:OWASP_Project|OWASP Projekten]]</u>. Die Liste der <u>[[Germany/Projekte|deutschen Projekte ist hier]]</u> zu finden.<br />
<br />
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |<br />
<br />
=== Projects of German Chapter ===<br />
----<br />
<!-- Category: cannot use wiki syntax [[Category:OWASP_Project|OWASP Projects]] :-/ --><br />
The German Chapter initiated or participated at [[:Category:OWASP_Project|OWASP Projects]]. A List can be found <u>[[Germany/Projekte|here]]</u>.<br />
<br />
|-<br />
| style="vertical-align:top; padding-right:0.5em;" |<br />
<br />
=== OWASP Stammtisch-Initiative ===<br />
----<br />
<br />
In mehren Städten gibt es <u>[[Germany/Stammtisch_Initiative|OWASP-Stammtische]]</u>, bei denen man sich in lockerer Runde im Biergarten oder Gasthaus trifft um sich auszutauschen, nette Leute kennenzulernen oder auch ernsthafte Sicherheitsthemen zu diskutieren. <br />
<br />
Aktive Stammtische gibt es (Stand Jan 2015) in:<br />
[[OWASP_German_Chapter_Stammtisch_Initiative#tab=M.C3.BCnchen |München]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative#tab=K.C3.B6ln |Köln]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative#tab=Frankfurt |Frankfurt]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative#tab=Stuttgart |Stuttgart]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative#tab=Hamburg |Hamburg]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative#tab=Karlsruhe |Karlsruhe]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative#tab=Berlin |Berlin]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative#tab=Dresden |Dresden]]<br />
<br />
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |<br />
<br />
=== OWASP Regular Tables ===<br />
----<br />
A "regular's table" (Stammtisch) is a German tradition for meeting each other in a beer garden or a pub in order to discuss certain topics (and to drink beer, of course&nbsp;;-).<br />
<br />
In the case of an <u>[[Germany/Stammtisch_Initiative|OWASP-Stammtisch]]</u> it's all about Web Application Security. Right now a Stammtisch is established in <br />
[[OWASP_German_Chapter_Stammtisch_Initiative#tab=M.C3.BCnchen |Munich]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative#tab=K.C3.B6ln |Cologne]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative#tab=Frankfurt |Frankfurt]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative#tab=Stuttgart |Stuttgart]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative#tab=Hamburg |Hamburg]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative#tab=Karlsruhe |Karlsruhe]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative#tab=Berlin |Berlin]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative#tab=Dresden |Dresden]]<br />
<br />
|-<br />
| style="vertical-align:top; padding-right:0.5em;" |<br />
<br />
=== Chapter Meetings ===<br />
----<br />
<br />
Das German Chapter trifft sich in unregelmäßigen Abständen, um die Arbeit innerhalb des German Chapter zu organisieren.<br />
Gemäß dem ''O'' in OWASP für ''open'' sind diese Treffen öffentlich. Jedermann kann daran teilnehmen und sich ander Arbeit im Chpater beteiligen. Der Termin zum Treffen -- Chapter Meeting -- wird auf dieser Seite bekannt gegegebn, zusammen mit der Agenda. Selbstverständlich sind auch alle Ergebnisse der Treffen öffentlich. Was auf den vergangenen Treffen jeweils besprochen und beschlossen wurde ist auf der <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>-Seite zu finden.<br />
<br />
Letztes Chapter Meeting war am '''14.03.2014''' in Frankfurt. Details sind auf der <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>-Seite zu finden<br />
<br />
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |<br />
<br />
=== Chapter Meetings ===<br />
----<br />
The German Chapter meetings are anounced here. All oucomes of previous meetings will be found on <br />
<u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>.<br />
<br />
'''Note''' that this page is in German mainly.<br />
<br />
|-<br />
| style="vertical-align:top; padding-right:0.5em;" |<br />
<br />
=== So erreichen Sie uns ===<br />
----<br />
;E-Mail: ...in Kürze ... <!-- [mailto:kontakt@owasp.de] [mailto:info@owasp.de] --><br />
;Twitter: [https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de] <br />
;Mailing-Liste: <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org]</u> <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u><br />
<br />
Jede Mitarbeit am OWASP German Chapter ist willkommen. Wir freuen uns auf Beiträge in unserer <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany Mailingliste]</u>. Diese sollten natürlich einen Bezug zu (Web-)Anwendungssicherheit haben. Denkbar sind also u. A. Fragen, Tipps, aktuelle Hinweise, Stellenangebote oder Projektgesuche. Es gibt auch ein <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u> von der Liste. Wenn Sie nicht an den Meetings teilnehmen können, kontaktieren Sie einfach einen der German Chapter Board Members (siehe oben) oder schreiben Sie eine E-Mmail an uns [mailto:owasp-germany@lists.owasp.org chapter mailing list].<br />
<br />
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |<br />
<br />
=== Contact us ===<br />
----<br />
If you want to participate in the work of the OWASP German Chapter or offer to submit work to it and cannot attend the meeting, please contact any of the German Chapter Board members (see above) or send an email to our [mailto:owasp-germany@lists.owasp.org chapter mailing list]. <br />
<br />
|-<br />
| style="vertical-align:top; padding-right:0.5em;" |<br />
=== Presse ===<br />
----<br />
Informationen für die Presse finden sich <u>[[Germany/press|hier]]</u><br />
<br />
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |<br />
=== Press Relations ===<br />
----<br />
Press Relations of the OWASP German Chapter are currently directed exclusively towards the local press. We therefore do not provide english translations.<br />
<br />
* <u>[[Germany/press|Press relations]]</u><br />
|}<br />
<br />
----<br />
<small>(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)</small><br />
<br />
[[Category:Germany]] [[Category:Europe]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=AppSecEU2013&diff=145449AppSecEU20132013-02-22T09:44:09Z<p>Ingo Hanke: </p>
<hr />
<div><!-- please no headertabs!! --><br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]]<br />
<br />
[[File:Logo AppSecEU2013-Nr3backg50.png|798px|center|link=http://en.wikipedia.org/wiki/File:AlsterPanorama.jpg|original photo from IqRS]]<br />
<!-- base picture courtesy to http://de.wikipedia.org/wiki/Benutzer:IqRS , see http://en.wikipedia.org/wiki/File:AlsterPanorama.jpg --><br />
<br alt="Abstand Bild - TOC" /><br />
<br />
__TOC__<br />
<br />
<br />
== Welcome ==<br />
<br />
The <u>[[Germany|German OWASP Chapter]]</u> will host the OWASP AppSec Europe Research 2013 global conference in <u>[http://en.wikipedia.org/wiki/Hamburg Hamburg]</u>, Germany from August 20-23. Hamburg is the second biggest city in Germany, <u>[https://maps.google.com/maps?q=Hamburg,+Germany&hl=en&ll=51.426614,10.239258&spn=12.838461,14.589844&sll=37.0625,-95.677068&sspn=61.799062,58.359375&oq=hamburg&hnear=Hamburg,+Germany&t=m&z=6 located in the north]</u>. To quote New York Times: <u>[http://travel.nytimes.com/2012/01/22/travel/36-hours-hamburg-germany.html No one tells you how pretty Hamburg is]</u>. We do. <br />
<br />
The AppSec Europe 2013 conference will be a premier gathering of Information Security leaders, also it is going to have a research part.<br />
<br />
Executives from Fortune 500 firms along with technical thought leaders such as security architects and lead developers will be traveling to hear the cutting-edge ideas presented by Information Security’s top talent. OWASP events attract a worldwide audience interested in “what’s next”. The conference is expected to draw 400-500 technologists from Government, Financial Services, Media, Pharmaceuticals, Healthcare, Technology and many other verticals. <br />
<br />
On the research side OWASP's AppSecEU Research will give you an excellent chance to present your cutting edge research, including a paper for the proceedings.<br />
<br />
The conference will be held from August 20-23, 2013 at the <u>[http://www.emporio-hamburg.de/en/ Emporio Hamburg]</u>. It's <u>[https://maps.google.de/maps?q=emporio+hamburg&hl=en&sll=53.561418,10.01215&sspn=0.043996,0.082397&hq=emporio+hamburg&t=m&z=15 centrally located]</u> in the heart of the city with a splendid <u>[http://www.location-award.de/la_videos/Panoramadeck/ view]</u> <u>[http://www.nordevent.com/nord-event-panoramadeck-en.html over]</u> Binnen-, Aussenalster and River Elbe.<br />
<br />
==== Facts in a nutshell ====<br />
;Date: August 20-23, 2013<br />
;Location: <u>[http://www.emporio-hamburg.de/en/ Emporio Hamburg]</u><br />
;Sponsors: <u>[https://www.owasp.org/images/0/03/Sponsorship_Description_AppSec_EU_2013.pdf Sponsorship Description]</u><br />
;Call for ...<br />
: [[AppSecEU2013/CfPresos|Presentations]] (Industry)<br />
: [[AppSecEU2013/CfPapers|Papers]] (Research)<br />
: [[AppSecEU2013/CfTrainings|Call for Trainings]]<br />
;Registration: ''not open yet''<br />
<br />
<br />
== Sponsorship ==<br />
<br />
AppSecEU is seeking for sponsors. We have several possibilities how you can promote your company, seek for employees and on the other side support the conference. Please find the description, pricing and possible items in a <u>[[Media:Sponsorship_Description_AppSec_EU_2013.pdf|PDF here]]</u>. <br />
<br />
== Call for {Presentations,Papers,Trainings} ==<br />
<br />
We'll have there seperate "Calls":<br />
* The <u>[[AppSecEU2013/CfPresos|Call for Presentations]]</u> is the standard one for the regular tracks<br />
* The <u>[[AppSecEU2013/CfPapers|Call for Papers]]</u> is for the Research track<br />
* <u>[[AppSecEU2013/CfTrainings|Call for Trainings]]</u>: as the name says<br />
<br />
<br />
== Teams ==<br />
<br />
=== Conference Orga ===<br />
:[[User:Dirk Wetter|Dirk Wetter]] (Chair)<br />
:[[User:Kai Jendrian|Kai Jendrian]] (Co-Chair)<br />
:Birgit Bernskötter (External)<br />
:[[User:Ingo Hanke|Ingo Hanke]]<br />
:Boris Hemkemeier<br />
:[[User:Achim|Achim Hoffmann]]<br />
:Martin Johns<br />
:Hartwig Gelhausen<br />
:Tobias Glemser<br />
:[[User:Sdeleersnyder|Sebastien Deleersnyder]]<br />
:Kelly Santalucia<br />
:[[User:Sarah_Baso|Sarah Baso]]<br />
<br />
Contact: orga2013//lists/appsec/eu<br />
<br />
<br />
;Twitter<br />
:[https://twitter.com/#!/search/appseceu Twitter: @appseceu]<br />
:[https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de] (German account)<br />
<br />
<br />
== Countdown Challenges ==<br />
<br />
;Win Free Tickets to AppSec EU Research 2013!<br />
<br />
There will be a challenge posted on the conference wiki page every month up until the event<br />
in August.<br />
The winner of each challenge will get free entrance to the conference, worth about €400.<br />
Be sure to sign up for the conference mailing list to get a monthly reminder.<br />
<br />
The challenge starts here:<br />
https://www.hacking-lab.com/events/registerform.html?eventid=397&uk=78h2Cz5xvYrCde5oGAEc1GDcacfwuYtM<br />
<br />
<br />
;How to Win<br />
<br />
Each challenge will be announced on the conference wiki page and the conference mailing list<br />
(what you see here). Simply follow the link, login, and follow the instructions for the challenge.<br />
Provide your solution, which then will be marked.<br />
The challenge will be opened right after the announcement and will be closed 23 days later.<br />
The winner will be rewarded a free conference ticket 3 days later.<br />
<br />
The free ticket is personal and the judgement of the organizing committee can not be overruled.<br />
<br />
<br />
;How it Works<br />
<br />
Each challenge will have its unique link and will be open for 23 days after announcement.<br />
<br />
If you follow the link, the site will ask for login (see "Login directly (Existing Hacking-Lab Account)"), or to sign-up (see "Sign-up a new Hacking-Lab<br />
Account") if you don't have a login.<br />
You may use your existing account, or sign-up for a new one.<br />
<br />
To participate on the challenge, you need an account at Hacking-Lab. You just need an email<br />
address for that and you can use a nickname of your choice. Only the nickname will be public.<br />
<br />
<br />
;How to Start<br />
<br />
Step0: Prepare your client with a preconfigured virtual host in VMware Player or VirtualBox.<br />
Install the LiveCD image<br />
https://www.hacking-lab.com/Remote_Sec_Lab/livecd.html<br />
in your virtual host.<br />
<br />
Download links are:<br />
<br />
https://www.virtualbox.org/wiki/Downloads<br />
<br />
http://www.vmware.com/products/player/<br />
<br />
Step1: Follow the link from your mail or posted at conference wiki.<br />
<br />
Step2: Login<br />
<br />
Step3: Switch to the challenge<br />
<br />
Step4: To solve the task you need a VPN connection as shown in<br />
https://www.hacking-lab.com/Remote_Sec_Lab/lab-infrastructure.html<br />
<br />
Step5: Connect to hacking-lab.com after starting your Live-CD from within your virtual host<br />
as described in<br />
https://www.hacking-lab.com/Remote_Sec_Lab/OpenVPN.html<br />
<br />
Step6: To complete the task (event), send your description of the vulnerability including<br />
an exploit and a description for mitigations using the provided "Send Solution" button.<br />
<br />
;Good luck!!</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=AppSecEU2013&diff=145448AppSecEU20132013-02-22T09:43:20Z<p>Ingo Hanke: </p>
<hr />
<div><!-- please no headertabs!! --><br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]]<br />
<br />
[[File:Logo AppSecEU2013-Nr3backg50.png|798px|center|link=http://en.wikipedia.org/wiki/File:AlsterPanorama.jpg|original photo from IqRS]]<br />
<!-- base picture courtesy to http://de.wikipedia.org/wiki/Benutzer:IqRS , see http://en.wikipedia.org/wiki/File:AlsterPanorama.jpg --><br />
<br alt="Abstand Bild - TOC" /><br />
<br />
__TOC__<br />
<br />
<br />
== Welcome ==<br />
<br />
The <u>[[Germany|German OWASP Chapter]]</u> will host the OWASP AppSec Europe Research 2013 global conference in <u>[http://en.wikipedia.org/wiki/Hamburg Hamburg]</u>, Germany from August 20-23. Hamburg is the second biggest city in Germany, <u>[https://maps.google.com/maps?q=Hamburg,+Germany&hl=en&ll=51.426614,10.239258&spn=12.838461,14.589844&sll=37.0625,-95.677068&sspn=61.799062,58.359375&oq=hamburg&hnear=Hamburg,+Germany&t=m&z=6 located in the north]</u>. To quote New York Times: <u>[http://travel.nytimes.com/2012/01/22/travel/36-hours-hamburg-germany.html No one tells you how pretty Hamburg is]</u>. We do. <br />
<br />
The AppSec Europe 2013 conference will be a premier gathering of Information Security leaders, also it is going to have a research part.<br />
<br />
Executives from Fortune 500 firms along with technical thought leaders such as security architects and lead developers will be traveling to hear the cutting-edge ideas presented by Information Security’s top talent. OWASP events attract a worldwide audience interested in “what’s next”. The conference is expected to draw 400-500 technologists from Government, Financial Services, Media, Pharmaceuticals, Healthcare, Technology and many other verticals. <br />
<br />
On the research side OWASP's AppSecEU Research will give you an excellent chance to present your cutting edge research, including a paper for the proceedings.<br />
<br />
The conference will be held from August 20-23, 2013 at the <u>[http://www.emporio-hamburg.de/en/ Emporio Hamburg]</u>. It's <u>[https://maps.google.de/maps?q=emporio+hamburg&hl=en&sll=53.561418,10.01215&sspn=0.043996,0.082397&hq=emporio+hamburg&t=m&z=15 centrally located]</u> in the heart of the city with a splendid <u>[http://www.location-award.de/la_videos/Panoramadeck/ view]</u> <u>[http://www.nordevent.com/nord-event-panoramadeck-en.html over]</u> Binnen-, Aussenalster and River Elbe.<br />
<br />
==== Facts in a nutshell ====<br />
;Date: August 20-23, 2013<br />
;Location: <u>[http://www.emporio-hamburg.de/en/ Emporio Hamburg]</u><br />
;Sponsors: <u>[https://www.owasp.org/images/0/03/Sponsorship_Description_AppSec_EU_2013.pdf Sponsorship Description]</u><br />
;Call for ...<br />
: [[AppSecEU2013/CfPresos|Presentations]] (Industry)<br />
: [[AppSecEU2013/CfPapers|Papers]] (Research)<br />
: [[AppSecEU2013/CfTrainings|Call for Trainings]]<br />
;Registration: ''not open yet''<br />
<br />
<br />
== Sponsorship ==<br />
<br />
AppSecEU is seeking for sponsors. We have several possibilities how you can promote your company, seek for employees and on the other side support the conference. Please find the description, pricing and possible items in a <u>[[Media:Sponsorship_Description_AppSec_EU_2013.pdf|PDF here]]</u>. <br />
<br />
== Call for {Presentations,Papers,Trainings} ==<br />
<br />
We'll have there seperate "Calls":<br />
* The <u>[[AppSecEU2013/CfPresos|Call for Presentations]]</u> is the standard one for the regular tracks<br />
* The <u>[[AppSecEU2013/CfPapers|Call for Papers]]</u> is for the Research track<br />
* <u>[[AppSecEU2013/CfTrainings|Call for Trainings]]</u>: as the name says<br />
<br />
<br />
== Teams ==<br />
<br />
=== Conference Orga ===<br />
:[[User:Dirk Wetter|Dirk Wetter]] (Chair)<br />
:[[User:Kai Jendrian|Kai Jendrian]] (Co-Chair)<br />
:Birgit Bernskötter (External)<br />
:[[User:Ingo Hanke|Ingo Hanke]]<br />
:Boris Hemkemeier<br />
:[[User:Achim|Achim Hoffmann]]<br />
:Martin Johns<br />
:Hartwig Gelhausen<br />
:Tobias Glemser<br />
:[[User:Sdeleersnyder|Sebastien Deleersnyder]]<br />
:Kelly Santalucia<br />
:[[User:Sarah_Baso|Sarah Baso]]<br />
<br />
Contact: orga2013//lists/appsec/eu<br />
<br />
<br />
;Twitter<br />
:[https://twitter.com/#!/search/appseceu Twitter: @appseceu]<br />
:[https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de] (German account)<br />
<br />
<br />
== Countdown Challenges ==<br />
<br />
<b>Win Free Tickets to AppSec EU Research 2013!</b><br />
<br />
There will be a challenge posted on the conference wiki page every month up until the event<br />
in August.<br />
The winner of each challenge will get free entrance to the conference, worth about €400.<br />
Be sure to sign up for the conference mailing list to get a monthly reminder.<br />
<br />
The challenge starts here:<br />
https://www.hacking-lab.com/events/registerform.html?eventid=397&uk=78h2Cz5xvYrCde5oGAEc1GDcacfwuYtM<br />
<br />
<br />
;How to Win<br />
<br />
Each challenge will be announced on the conference wiki page and the conference mailing list<br />
(what you see here). Simply follow the link, login, and follow the instructions for the challenge.<br />
Provide your solution, which then will be marked.<br />
The challenge will be opened right after the announcement and will be closed 23 days later.<br />
The winner will be rewarded a free conference ticket 3 days later.<br />
<br />
The free ticket is personal and the judgement of the organizing committee can not be overruled.<br />
<br />
<br />
<b>How it Works</b><br />
<br />
Each challenge will have its unique link and will be open for 23 days after announcement.<br />
<br />
If you follow the link, the site will ask for login (see "Login directly (Existing Hacking-Lab Account)"), or to sign-up (see "Sign-up a new Hacking-Lab<br />
Account") if you don't have a login.<br />
You may use your existing account, or sign-up for a new one.<br />
<br />
To participate on the challenge, you need an account at Hacking-Lab. You just need an email<br />
address for that and you can use a nickname of your choice. Only the nickname will be public.<br />
<br />
<br />
<b>How to Start</b><br />
<br />
Step0: Prepare your client with a preconfigured virtual host in VMware Player or VirtualBox.<br />
Install the LiveCD image<br />
https://www.hacking-lab.com/Remote_Sec_Lab/livecd.html<br />
in your virtual host.<br />
<br />
Download links are:<br />
<br />
https://www.virtualbox.org/wiki/Downloads<br />
<br />
http://www.vmware.com/products/player/<br />
<br />
Step1: Follow the link from your mail or posted at conference wiki.<br />
<br />
Step2: Login<br />
<br />
Step3: Switch to the challenge<br />
<br />
Step4: To solve the task you need a VPN connection as shown in<br />
https://www.hacking-lab.com/Remote_Sec_Lab/lab-infrastructure.html<br />
<br />
Step5: Connect to hacking-lab.com after starting your Live-CD from within your virtual host<br />
as described in<br />
https://www.hacking-lab.com/Remote_Sec_Lab/OpenVPN.html<br />
<br />
Step6: To complete the task (event), send your description of the vulnerability including<br />
an exploit and a description for mitigations using the provided "Send Solution" button.<br />
<br />
Good luck!!</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=AppSecEU2013&diff=145447AppSecEU20132013-02-22T09:38:31Z<p>Ingo Hanke: </p>
<hr />
<div><!-- please no headertabs!! --><br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]]<br />
<br />
[[File:Logo AppSecEU2013-Nr3backg50.png|798px|center|link=http://en.wikipedia.org/wiki/File:AlsterPanorama.jpg|original photo from IqRS]]<br />
<!-- base picture courtesy to http://de.wikipedia.org/wiki/Benutzer:IqRS , see http://en.wikipedia.org/wiki/File:AlsterPanorama.jpg --><br />
<br alt="Abstand Bild - TOC" /><br />
<br />
__TOC__<br />
<br />
<br />
== Welcome ==<br />
<br />
The <u>[[Germany|German OWASP Chapter]]</u> will host the OWASP AppSec Europe Research 2013 global conference in <u>[http://en.wikipedia.org/wiki/Hamburg Hamburg]</u>, Germany from August 20-23. Hamburg is the second biggest city in Germany, <u>[https://maps.google.com/maps?q=Hamburg,+Germany&hl=en&ll=51.426614,10.239258&spn=12.838461,14.589844&sll=37.0625,-95.677068&sspn=61.799062,58.359375&oq=hamburg&hnear=Hamburg,+Germany&t=m&z=6 located in the north]</u>. To quote New York Times: <u>[http://travel.nytimes.com/2012/01/22/travel/36-hours-hamburg-germany.html No one tells you how pretty Hamburg is]</u>. We do. <br />
<br />
The AppSec Europe 2013 conference will be a premier gathering of Information Security leaders, also it is going to have a research part.<br />
<br />
Executives from Fortune 500 firms along with technical thought leaders such as security architects and lead developers will be traveling to hear the cutting-edge ideas presented by Information Security’s top talent. OWASP events attract a worldwide audience interested in “what’s next”. The conference is expected to draw 400-500 technologists from Government, Financial Services, Media, Pharmaceuticals, Healthcare, Technology and many other verticals. <br />
<br />
On the research side OWASP's AppSecEU Research will give you an excellent chance to present your cutting edge research, including a paper for the proceedings.<br />
<br />
The conference will be held from August 20-23, 2013 at the <u>[http://www.emporio-hamburg.de/en/ Emporio Hamburg]</u>. It's <u>[https://maps.google.de/maps?q=emporio+hamburg&hl=en&sll=53.561418,10.01215&sspn=0.043996,0.082397&hq=emporio+hamburg&t=m&z=15 centrally located]</u> in the heart of the city with a splendid <u>[http://www.location-award.de/la_videos/Panoramadeck/ view]</u> <u>[http://www.nordevent.com/nord-event-panoramadeck-en.html over]</u> Binnen-, Aussenalster and River Elbe.<br />
<br />
==== Facts in a nutshell ====<br />
;Date: August 20-23, 2013<br />
;Location: <u>[http://www.emporio-hamburg.de/en/ Emporio Hamburg]</u><br />
;Sponsors: <u>[https://www.owasp.org/images/0/03/Sponsorship_Description_AppSec_EU_2013.pdf Sponsorship Description]</u><br />
;Call for ...<br />
: [[AppSecEU2013/CfPresos|Presentations]] (Industry)<br />
: [[AppSecEU2013/CfPapers|Papers]] (Research)<br />
: [[AppSecEU2013/CfTrainings|Call for Trainings]]<br />
;Registration: ''not open yet''<br />
<br />
<br />
== Sponsorship ==<br />
<br />
AppSecEU is seeking for sponsors. We have several possibilities how you can promote your company, seek for employees and on the other side support the conference. Please find the description, pricing and possible items in a <u>[[Media:Sponsorship_Description_AppSec_EU_2013.pdf|PDF here]]</u>. <br />
<br />
== Call for {Presentations,Papers,Trainings} ==<br />
<br />
We'll have there seperate "Calls":<br />
* The <u>[[AppSecEU2013/CfPresos|Call for Presentations]]</u> is the standard one for the regular tracks<br />
* The <u>[[AppSecEU2013/CfPapers|Call for Papers]]</u> is for the Research track<br />
* <u>[[AppSecEU2013/CfTrainings|Call for Trainings]]</u>: as the name says<br />
<br />
<br />
== Teams ==<br />
<br />
=== Conference Orga ===<br />
:[[User:Dirk Wetter|Dirk Wetter]] (Chair)<br />
:[[User:Kai Jendrian|Kai Jendrian]] (Co-Chair)<br />
:Birgit Bernskötter (External)<br />
:[[User:Ingo Hanke|Ingo Hanke]]<br />
:Boris Hemkemeier<br />
:[[User:Achim|Achim Hoffmann]]<br />
:Martin Johns<br />
:Hartwig Gelhausen<br />
:Tobias Glemser<br />
:[[User:Sdeleersnyder|Sebastien Deleersnyder]]<br />
:Kelly Santalucia<br />
:[[User:Sarah_Baso|Sarah Baso]]<br />
<br />
Contact: orga2013//lists/appsec/eu<br />
<br />
<br />
;Twitter<br />
:[https://twitter.com/#!/search/appseceu Twitter: @appseceu]<br />
:[https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de] (German account)<br />
<br />
<br />
== Countdown Challenges ==<br />
<br />
<b>Win Free Tickets to AppSec EU Research 2013!</b><br />
<br />
There will be a challenge posted on the conference wiki page every month up until the event<br />
in August.<br />
The winner of each challenge will get free entrance to the conference, worth about €400.<br />
Be sure to sign up for the conference mailing list to get a monthly reminder.<br />
<br />
The challenge starts here:<br />
https://www.hacking-lab.com/events/registerform.html?eventid=397&uk=78h2Cz5xvYrCde5oGAEc1GDcacfwuYtM<br />
<br />
<br />
<b>How to Win</b><br />
<br />
Each challenge will be announced on the conference wiki page and the conference mailing list<br />
(what you see here). Simply follow the link, login, and follow the instructions for the challenge.<br />
Provide your solution, which then will be marked.<br />
The challenge will be opened right after the announcement and will be closed 23 days later.<br />
The winner will be rewarded a free conference ticket 3 days later.<br />
<br />
The free ticket is personal and the judgement of the organizing committee can not be overruled.<br />
<br />
<br />
<b>How it Works</b><br />
<br />
Each challenge will have its unique link and will be open for 23 days after announcement.<br />
<br />
If you follow the link, the site will ask for login (see "Login directly (Existing Hacking-Lab Account)"), or to sign-up (see "Sign-up a new Hacking-Lab<br />
Account") if you don't have a login.<br />
You may use your existing account, or sign-up for a new one.<br />
<br />
To participate on the challenge, you need an account at Hacking-Lab. You just need an email<br />
address for that and you can use a nickname of your choice. Only the nickname will be public.<br />
<br />
<br />
<b>How to Start</b><br />
<br />
Step0: Prepare your client with a preconfigured virtual host in VMware Player or VirtualBox.<br />
Install the LiveCD image<br />
https://www.hacking-lab.com/Remote_Sec_Lab/livecd.html<br />
in your virtual host.<br />
<br />
Download links are:<br />
<br />
https://www.virtualbox.org/wiki/Downloads<br />
<br />
http://www.vmware.com/products/player/<br />
<br />
Step1: Follow the link from your mail or posted at conference wiki.<br />
<br />
Step2: Login<br />
<br />
Step3: Switch to the challenge<br />
<br />
Step4: To solve the task you need a VPN connection as shown in<br />
https://www.hacking-lab.com/Remote_Sec_Lab/lab-infrastructure.html<br />
<br />
Step5: Connect to hacking-lab.com after starting your Live-CD from within your virtual host<br />
as described in<br />
https://www.hacking-lab.com/Remote_Sec_Lab/OpenVPN.html<br />
<br />
Step6: To complete the task (event), send your description of the vulnerability including<br />
an exploit and a description for mitigations using the provided "Send Solution" button.<br />
<br />
Good luck!!</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012/Programm&diff=138427German OWASP Day 2012/Programm2012-10-31T14:30:02Z<p>Ingo Hanke: </p>
<hr />
<div>__NOTOC__<br />
<br />
[[German_OWASP_Day_2012|[zurück]]]<br />
<br />
== Agenda / Presentations ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | '''Mittwoch, 07. November 2012''' <br />
<br> <br />
<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | <br> <br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Auditorium 1 <br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Auditorium 2<br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Auditorium 3 (Mobile Applications Track)<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' -- N.N.<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Keynote: Volkmar Lotz'''<br> ''Security-Ausbildung in einem Großunternehmen der Softwareindustrie - Erfahrungen und Herausforderungen'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30 <br />
| align="center" colspan="4" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP Introduction'''<br> ''Jim Manico, co-presented by Jerry Hoff'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:45 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | XSS von 1999 bis 2013 - Die Doctrine Classique der Websicherheit <br> ''Mario Heiderich'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Code Review: Prinzipien, Grenzen und Organisation <br> ''Bruce Sams''<br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:30 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Lost in Translation: Missverständnisse zwischen Mensch/Mensch und Mensch/Maschine und deren Auswirkungen auf Web-Security <br> ''Sebastian Schinzel'' <br> <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | On Breaking SAML: Be Whoever You Want to Be <br> ''Juraj Somorovsky und Christian Mainka''<br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:15 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | ''1000 Projekte später: Statische Codeanalyse Sicherheitscodesans in der SAP'' <br> ''Rüdiger Bachmann und Achim D. Brucker'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | OWASP Zed Attack Proxy <br> ''Simon Bennetts'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:15 - 15:00 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Threat Modeling von Webanwendungen: Mythen und Best Practices <br> ''Matthias Rohr'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Sheet Cheats <br> ''Jim Manico'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:30 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:30 - 16:05 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Sicherheitsanforderungen: oft vernachlässigt, dabei sehr nützlich! <br> ''Sachar Paulus'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Node.js Security - Old vulnerabilities in new bottles <br> ''Sven Vetsch'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Laufzeitanalyse & Manipulation von Apple iOS Apps <br> ''Andreas Kurtz'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:05 - 16:40 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | A CAPTCHA in the Rye <br> ''Tal Beery'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Lightweight Integrity Protection for Web Storage-driven Content Caching <br> ''Sebastian Lekies'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | The Dark Side of Android Applications <br> ''Michael Spreitzenbarth'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:40 - 17:15 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Privacy by Design am Beispiel Facebook <br> ''Florian Stahl'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Der Weg ist das Ziel - Kontrollfluss-Integrität in Web-Applikationen sichern <br> ''Bastian Braun, Patrick Gemein and Hans Reiser'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | UI-Redressing-Angriffe auf Android <br> ''Marcus Niemietz'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 18:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Closing Note: Angela Sasse''' <br>''Making systems secure and usable - what can software developers do''<br />
|}<br />
<br />
<br><br />
<br />
== Details zu den Vorträgen ==<br />
<br />
<br> <br />
<br />
=== ''Keynote'': Volkmar Lotz — Security-Ausbildung in einem Großunternehmen der Softwareindustrie - Erfahrungen und Herausforderungen ===<br />
<br />
<br> <br />
<br />
=== ''OWASP Introduction'': Jim Manico, co-presented by Jerry Hoff ===<br />
<br />
<br> <br />
<br />
=== Mario Heiderich — XSS von 1999 bis 2013: Die Doctrine Classique der Websicherheit ===<br />
<br />
Cross-Site Scripting Angriffe wurden erstmals vor circa 14 Jahren<br />
dokumentiert. Seitdem hat diese Angriffstechnik eine Evolution<br />
durchzogen, die klassischen Dramentheorie ähnelt - inklusive<br />
Katastase, Heldentum und Peripetie.<br />
<br />
Nun hält HTML Einzug in die Welt der Betriebssysteme, und das Drama<br />
XSS befindet sich an der Baumgrenze zur Katastrophe - der harmlose<br />
"Alert" hat sich zum schwarzen Schwan beliebiger Code-Ausführung im<br />
Betriebssystem gewandelt.<br />
<br />
Dieser Vortrag zeigt die Evolution der Angriffstechnik XSS, untersucht<br />
unser aller Fehler in der bisherig angewandten Bekämpfung, bietet<br />
konsequente Ausblicke und schließt mit Denkanstößen für das Jahr 2013<br />
und fortfolgend.<br />
<br />
<br><br />
<br />
=== Bruce Sams — Code Review: Prinzipien, Grenzen und Organisation ===<br />
<br />
Code Review ist ein immer beliebteres Mittel, um<br />
Schwachstellen im Code während der Entwicklung zu entdecken. Dieser<br />
Vortrag zeigt wie ein effektiver Code Review gestaltet und durchgeführt<br />
wird. Zuerst werden die Prinzipien von Code Review anhand von aktuellen<br />
Beispielen in Java/JEE erläutert: Cross-Site-Scripting, SQL-Injection,<br />
Command-Injection und die Validierung von Eingabedaten werden<br />
besprochen und Lösungen gezeigt, wie derartige Schwachstellen<br />
identifiziert werden können. Danach werden problematische Fälle wie<br />
z.B. HashMaps und dynamisch geladene Klassen untersucht. Im Allgemeinen<br />
wird das Thema Tracing über mehrere Aufrufe hinweg erklärt, und das<br />
Verhältnis False Positive zu False Negative angesprochen.<br />
<br />
Zur Verdeutlichung der Beispiele wird das Open Source Tool FindBugs<br />
verwendet. Darüber hinaus wird ein neuer Satz von über 30 Detektoren<br />
für Findbugs vorgestellt. Diese Detektoren identifizieren<br />
Schwachstellen, die standardmäßig unentdeckt bleiben.<br />
Zum Abschluss wird die Organisation eines Reviews besprochen und die<br />
Integration von Code Review in dem sicheren SDLC vorgestellt. Diese<br />
Diskussion basiert auf eingehende Erfahrung in mehreren deutschen<br />
Großunternehmen.<br />
<br />
Am Ende hat der Teilnehmer einen Überblick über die Vorteile und auch<br />
die Grenzen von Code Review und weiß, wie ein effektiver Review<br />
gestalten werden soll.<br />
<br />
<br><br />
<br />
=== [[User:Sebastian Schinzel|Sebastian Schinzel]] — Lost in Translation: Missverständnisse zwischen Mensch/Mensch und Mensch/Maschine und deren Auswirkungen auf Web-Security ===<br />
<br />
Wir schreiben das Jahr 2012 und in vielen<br />
Web-Entwicklungsprojekten wird das Thema "Sicherheit" noch immer als<br />
notwendiges Übel angesehen. Gerade erfahrene Entwickler sind oft zu<br />
sehr überzeugt von ihrer eigenen Codequalität, als dass sie offen für<br />
Feedback und konstruktive Kritik sind. Wenn es hart-auf-hart kommt, und<br />
Sie sich als Sicherheitsexperte gegen solche Entwickler behaupten<br />
wollen, dann benötigen Sie gute Argumente.<br />
<br />
In diesem interaktiven Vortrag stelle ich einige scheinbar trivial<br />
verständliche Quellcodebeispiele vor, die selbst von erfahrenen<br />
Programmierern (und wahrscheinlich auch vom OWASP Publikum) falsch<br />
verstanden werden. Weiterhin untersuche ich einige öffentlich gewordene<br />
Backdoors, die von Angreifern in den Quellcode der Web-Anwendungen<br />
eingeschleust wurden. Aus den Beispielen wird klar, dass viele<br />
Backdoors auf den ersten Blick (und auch auf den zweiten) harmlos<br />
aussehen, und die Schadroutine nur bei sehr genauem Hinsehen klar wird.<br />
<br />
Die vorgestellten Beispiele verwende ich regelmäßig in Workshops, um<br />
übermäßig selbstbewussten Web-Entwicklern zu veranschaulichen, dass<br />
auch sie in ihrem Verständnis von Quellcode nicht unfehlbar sind. Das<br />
ist eine wichtige Erkenntnis, um einzusehen, dass niemand vor<br />
Sicherheitsschwachstellen gefeit ist und dass selbst erfahrene<br />
Web-Entwickler regelmäßig in sicherer Softwareentwicklung geschult<br />
werden müssen.<br />
<br />
<br><br />
<br />
=== Juraj Somorovsky and Christian Mainka — On Breaking SAML: Be Whoever You Want to Be ===<br />
<br />
The Security Assertion Markup Language (SAML) is a widely<br />
adopted language for making security statements about subjects. It is a<br />
critical component for the development of federated identity<br />
deployments and Single Sign- On scenarios. In order to protect<br />
integrity and authenticity of the exchanged SAML assertions, the XML<br />
Signature standard is applied. However, the signature verification<br />
algorithm is much more complex than in traditional signature formats<br />
like PKCS#7. The integrity protection can thus be successfully<br />
circumvented by application of different XML Signature specific<br />
attacks, under a weak adversarial model.<br />
<br />
In this talk we describe an in-depth analysis of 14 major SAML<br />
frameworks and show that 11 of them, including Salesforce, Shibboleth,<br />
and IBM XS40, have critical XML Signature wrapping vulnerabilities. We<br />
present efficient and practical countermeasures to thwart these<br />
attacks. Moreover, based on our analysis, we developed an automated<br />
penetration testing tool for XML Signature Wrapping called WS-Attacker.<br />
We discuss its main features and its application to SAML-based<br />
frameworks.<br />
<br />
<br><br />
<br />
=== Rüdiger Bachmann and Achim D. Brucker — 1000 Projekte später: Statische Codeanalyse Sicherheitscodesans in der SAP ===<br />
<br />
Statische Code Analyse (SCA) spielt in einem sicheren Softwareentwicklungsprozess (SDL) eine wichtige Rolle um mögliche Sicherheitsschwachstellen bereits zur Entwicklungszeit zu finden und zu beheben.<br />
<br />
Die großflächige Einführung statischer Code Analyse bei einem großen Softwarehersteller stellt eine große Herausforderung dar. Neben den technischen Schwierigkeiten durch die schiere Anzahl und Größe der Softwareprojekte, der Vielzahl unterschiedlicher Programmiersprachen (ABAP, C, Objective-C, ...) oder die Verwendung dynamischer Programmiermodelle wie sie z.B. bei HTML5/JavaScript üblich sind, ergeben sich auch nicht-technische Probleme wie die Schaffung des notwendigen Problembewusstseins, Schulung der Mitarbeiter im Umgang der verwendeten Tools, Einbindung der Analyse in vorhandene Entwicklungs- und Wartungsprozesse.<br />
<br />
In diesem Vortrag berichten wir von unseren Erfahrungen in der großflächigen Einführung von statischer Code Analyse innerhalb der SAP AG.<br />
<br />
<br><br />
<br />
=== [[User:Simon Bennetts|Simon Bennetts]] — OWASP Zed Attack Proxy ===<br />
<br />
The OWASP Zed Attack Proxy (ZAP) is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications.<br />
<br />
It is community project, being maintained by a worldwide group of volunteers and is completely free, open source and cross platform. Since its release in 2010 ZAP has gone from strength to strength and is now a flagship OWASP project.<br />
<br />
Simon (the ZAP project lead) will:<br />
* Introduce ZAP to those who have not encountered it before<br />
* Detail the new features in the most recent releases<br />
* Explain the 3 ZAP related Google Summer of Code projects<br />
* Talk about the future plans<br />
<br />
<br><br />
<br />
=== [[User:Mrohr|Matthias Rohr]] — Threat Modeling von Webanwendungen: Mythen and Best Practices ===<br />
<br />
Mittels einer Bedrohungsmodellierung (engl. Threat Modelling)<br />
lassen sich Risiken, wie etwa potentielle Schwachstellen, bereits<br />
frühzeitig im Rahmen der Entwicklung einer Webanwendung identifizieren<br />
und mit entsprechenden Maßnahmen entgegenwirken. Auch können<br />
Penetrationstests und andere Testmethoden auf Basis eines bestehenden<br />
Bedrohungsmodells in der Regel deutlich effektiver geplant und<br />
durchgeführt werden.<br />
<br />
In der Praxis ist die konkrete Durchführung allerdings häufig mit<br />
zahlreichen Schwierigkeiten verbunden. So existieren zwar einige<br />
konkrete Vorgehensweisen (z.B. Microsoft, PASTA, T-MAP, TRIKE sowie<br />
gleich mehrere auf der OWASP-Webseite selbst), doch verfolgen diese<br />
teilweise recht unterschiedliche Ansätze und eignen sich gewöhnlich<br />
auch nur für bestimmte Anwendungsszenarios und Zielgruppen. Auch<br />
deshalb ist die Verwirrung beim Thema Bedrohungsmodellierung häufig<br />
recht groß.<br />
<br />
Im Rahmen dieses Vortrages, der auf mehrjährigen Erfahrungen mit der<br />
der Erstellung von Bedrohungsmodellen von Webanwendungen basiert,<br />
werden zahlreiche geläufige Mythen aufgeklärt und entsprechende Best<br />
Practices erläutert. Weiterhin wird eine praxisbezogene Vorgehensweise<br />
vorgestellt, mit der sich die Durchführung von Bedrohungsmodellierungen<br />
leicht skalieren, in unterschiedlichen Szenarien einbinden und effektiv<br />
in bestehende Entwicklungsprozesse integrieren lässt.<br />
<br />
<br><br />
<br />
=== [[User:Jmanico|Jim Manico]] — Sheet Cheats ===<br />
<br />
We cannot hack or firewall our way secure. Application programmers need<br />
to learn to code in a secure fashion if we have any chance of providing<br />
organizations with proper defenses in the current threatscape. This talk<br />
will discuss the 10 most important security-centric computer programming<br />
techniques necessary to build low-risk web-based applications. This talk<br />
is best suited for technical web application development professionals<br />
at any stage of the software development lifecycle.<br />
<br />
<br><br />
<br />
=== Sachar Paulus — Sicherheitsanforderungen: oft vernachlässigt, dabei sehr nützlich! ===<br />
<br />
Die Formulierung von Sicherheitsanforderungen findet in<br />
vielen Projekten so gut wie nie statt - doch wie soll eine Software<br />
"sicher" sein, wenn noch nicht einmal klar ist, was "sicher" bedeuten<br />
soll.<br />
<br />
Dieser Vortrag gibt einen Überblick wie Kunden und Nutzer von Software<br />
und Software-Entwicklungsprojekten durch recht schlanke Prozesse zur<br />
Erstellung von Sicherheitsanforderungen die Sicherheit der verwendeten<br />
Applikationen deutlich verbessern können.<br />
<br />
Für das Testen auf Sicherheit, also die Untersuchung von Software auf<br />
Schwachstellen werden meist Prüfkataloge und Best Practices<br />
herangezogen, die die Erfahrungen und das Know-How der testenden<br />
Organisation widerspiegeln, und leider nicht die Aspekte, die ein<br />
gezielter Angriff mit entsprechender Vorab-Analyse ausnutzen würde. Das<br />
ist in etwa vergleichbar mit dem Bild, bei dem ein betrunkener Mann<br />
seinen verlorenen Hausschlüssel im Lichtkreis einer Laterne sucht - und<br />
nicht da, wo er ihn verloren hat, mit der Begründung: im Licht sehe er<br />
wenigstens etwas…<br />
<br />
Die Lösung dieser Problematik besteht darin, dass man das, was getestet<br />
(und natürlich vorher entwickelt) werden soll, überhaupt erst einmal<br />
erfasst und beschreibt. So wie es für funktionale Anforderungen seit<br />
Jahren üblich ist, so müssen auch nicht-funktionale Anforderungen, hier<br />
speziell Sicherheitsanforderungen, auch aufgenommen und dokumentiert<br />
werden.<br />
<br />
Für die Ermittlung von Sicherheitsanforderungen kann sehr gut eine<br />
vereinfachte Variante der Bedrohungsmodellierung herhalten. Um das<br />
Testen einfacher zu machen, können für nicht-funktionale Anforderungen<br />
Akzeptanzkritrien formuliert werden. Dies sind nur zwei einfache<br />
Werkzeuge, diese werden im Vortrag ausführlicher dargestellt.<br />
<br />
<br><br />
<br />
=== Sven Vetsch — Node.js Security - Old vulnerabilities in new bottles ===<br />
<br />
New technologies are a good thing as they drive innovation.<br />
Especially in the web world, innovation is what lead to todays<br />
popularity of sites like Google, Twitter and Facebook. Regarding<br />
security, new technologies also come with the possibility to avoid<br />
known security issues already in the design of a technology or for<br />
example a new programming language. Unfortunately most of the time,<br />
security is not a main focus and therefor also known faults are done<br />
over and over again. In addition to this, new technologies also tend to<br />
invent new vulnerability classes or at least open new ways to exploit<br />
known security issues.<br />
<br />
In this talk I'll take as a practical example the Node (Node.js)<br />
project which allows server side non-blocking JavaScript development.<br />
It's great to have the same language for the frontend as for the<br />
backend as it makes things much easier to connect and also the frontend<br />
and backend developers can better understand each others work. Many<br />
people still think about JavaScript as static *.js files somewhere in a<br />
web accessible directory which is not security relevant as it's static.<br />
This is simply not the case. In the past there where already a lot of<br />
reported security problems related to JavaScript so the question is:<br />
Will those problems also affect Node? I will answer this and more<br />
questions during the talk but be assured, we'll end up with a reverse<br />
shell ;)<br />
<br />
<br><br />
<br />
=== Andreas Kurtz — Laufzeitanalyse & Manipulation von Apple iOS Apps ===<br />
<br />
Mit der Veröffentlichung des Software Development Kits für<br />
die Apple iOS Plattform im Jahr 2008, wurde es erstmals offiziell<br />
möglich, Apples mobile Geräte um eigenentwickelte Applikationen (Apps)<br />
zu erweitern. Seit dieser Zeit wurden in Apples App Store mehr als<br />
650.000 Apps bereitgestellt und diese über 30 Milliarden Mal<br />
heruntergeladen (Stand: Juni 2012).<br />
<br />
iOS Apps werden dabei primär in Objective-C entwickelt. Objective-C ist<br />
eine objektorientierte Erweiterung und strikte Obermenge der<br />
Programmiersprache C, deren Syntax und Konzeption stark an Smalltalk<br />
angelehnt ist. Ähnlich wie viele andere moderne Programmiersprachen,<br />
bietet auch die Objective-C Laufzeitumgebung eine umfangreiche<br />
Reflection-API. Diese ermöglicht den Zugriff sowie die Manipulation von<br />
Klassen und Methoden zur Laufzeit. Dadurch können interne App-Zustände<br />
und Abläufe zur Laufzeit beliebig manipuliert werden.<br />
<br />
Im Rahmen des Vortrags werden zunächst die Hintergründe und<br />
erforderlichen Techniken zur Laufzeitmanipulation von iOS Apps<br />
erläutert: Durch das Einbringen von Bibliotheken in den Prozess einer<br />
laufenden App wird diese nachträglich um Debugging-Funktionalitäten<br />
erweitert. Anschließend können darüber interne Abläufe untersucht und<br />
verändert, vorhandene Methoden beliebig ausgeführt oder deren<br />
Implementierung überschrieben werden. Anhand einiger Praxisbeispiele<br />
wird demonstriert, wie die Laufzeitmanipulation das Reverse Engineering<br />
von Apps erleichtern kann und welche neuen Bedrohungen daraus für<br />
mobile Apps resultieren.<br />
<br />
<br><br />
<br />
=== Robert Rachwald — A CAPTCHA in the Rye ===<br />
<br />
A CAPTCHA, or Completely Automated Public Turing test to tell<br />
Computers and Humans Apart, is a common security measures used to distinguish between humans<br />
and a "phony". Ideally, a CAPTCHA should distinguish human users from<br />
automated browsing applications, preventing automated tools from abusing online services.<br />
Hackers have deployed numerous methods to bypass CAPTCHAs, such as outsourcing<br />
readers to India or creating CAPTCHA games that reward users with<br />
pornographic images. <br />
<br />
The line between real and phony isn’t clear, forcing security professionals<br />
to present CAPTCHAs sub optimally.<br />
This talk will present several innovative CAPTCHA methods have appeared<br />
recently and review the use of CAPTCHAs as a security mechanism against<br />
malicious automation. We report and analyze four case studies and<br />
provide recommendations on ways to implement CAPTCHAs as an integrated<br />
part of a security strategy. Specifically, security teams should:<br />
<br />
* Use novel CAPTCHA methods that make the CAPTCHA into something enjoyable, like a mini-game.<br />
* Minimize the number of CAPTCHA challenges that legitimate users encounter. <br />
<br />
The idea is to present a CAPTCHA only when users exhibit<br />
suspicious behavior. To detect such, the site should use the other<br />
automation detection mechanisms.<br />
<br />
<br><br />
<br />
=== Sebastian Lekies — Lightweight Integrity Protection for Web Storage-driven Content Caching ===<br />
<br />
The term Web storage summarizes a set of browser- based technologies<br />
that allow application-level persistent storage of key/values pairs on<br />
the client-side. These capabilities are frequently used for caching of<br />
markup or script code fragments, e.g., in scenarios with specific<br />
bandwidth or responsiveness requirements. <br />
<br />
Unfortunately, this practice<br />
is inherently insecure, as it may allow attackers to inject malicious<br />
JavaScript payloads into the browser’s Web storage. Such payloads<br />
reside in the victim’s browser for a potentially prolonged period and<br />
lead to resident compromise of the application’s client-side code.<br />
<br />
In this paper, we first present three possible attack scenarios that<br />
showcase how an attacker is able to inject code into web storage. Then<br />
we verify that Web storage is indeed used in the outlined, insecure<br />
fashion, via a large-scale study of the top 500.000 Alexa domains.<br />
Furthermore, we propose a lightweight integrity protecting mechanism<br />
that allows developers to store markup and code fragments in Web<br />
storage without risking a potential compromise. Our protection approach<br />
can be introduced without requiring browser modifications and<br />
introduces only negligible performance overhead.<br />
<br />
<br><br />
<br />
=== Michael Spreitzenbarth — The Dark Side of Android Applications ===<br />
<br />
It is now well-known that, for various reasons, Android has<br />
become the leading OS for smartphones with more than 50% of worldwide<br />
market share within only a few years. This fast growth rate also has an<br />
evil side. Android brought backdoors and trojans to the yet spared<br />
Linux world with growth rates of over 3,000% in the last half of 2011<br />
and about 15,000 newly discovered malicious applications in the second<br />
quarter of 2012.<br />
<br />
These malicious apps are only seldomly obfuscated and very basic in<br />
their functionality. In this presentation, we will give a short<br />
overview of the existing malware families and their main<br />
functionalities. As an example, we will present the results of reverse<br />
engineering a paradigmatic malware sample of the FakeRegSMS family.<br />
This sample was chosen because it tries to implement the first very<br />
simple approaches of obfuscation and behavior hiding.<br />
<br />
Afterwards, we will show how actual malware detection systems are<br />
working. In this step we will concentrate on, often self-written,<br />
static detection modules. The detection mainly relais on the<br />
combination of permissions, receivers and API calls. Some of these<br />
systems also try to detect if an application is under- or<br />
over-privileged by comparing the API calls and the requested<br />
permissions. The well known systems (MobileSandbox and Andrubis) use a<br />
dynamic analysis with TaintDroid/DroidBox as an additional step. These<br />
systems perform taint-analysis and monitor sensitive data throughout<br />
the complete data-flow of the application. With this functionality it<br />
is possible to detect which sensitive data is leaving the device. With<br />
the knowledge we gained in this step, we will then discuss why<br />
developers should take care of permissions and ad-networks they use<br />
within their applications.<br />
<br />
Especially ad-networks are a reason why benign apps are detected as<br />
malicious with an increasing frequency. This happens because this<br />
networks often send sensitive user data like unique identifiers (IMEI,<br />
IMSI, etc.) and sometimes even stored contact and calendar entries over<br />
the Internet. One of the most aggressive ad-networks is mobclix, which<br />
tries to get access to stored account data, location of the user and<br />
even tries to get write access to contacts and calendar. The well known<br />
ad-library mOcean is even able to send SMS messages and start phone<br />
calls without user interaction and notice.<br />
<br />
We conclude with discussing the following questions: How do you get<br />
infected? What was the main goal of malware authors in recent malicious<br />
applications? And finally, how does the future of malware look like?<br />
<br />
<br><br />
<br />
=== Florian Stahl — Privacy by Design am Beispiel Facebook ===<br />
<br />
Der Vorschlag für die Überarbeitung der Anfang des Jahres publizierten<br />
europäischen Datenschutzrichtlinie sieht vor das Konzept „Privacy by<br />
Design“ (PbD) verpflichtend zu machen. Dies wird auch bei der<br />
Entwicklung von Webanwendungen zu neuen Anforderungen führen, wenn<br />
diese personenbezogene Daten verarbeiten. Bisher wird Privacy by Design<br />
selten konsequent berücksichtigt, da Datenschutz kaum als explizite<br />
Anforderung im Pflichtenheft auftaucht und vielen Projektleitern und<br />
Softwareentwicklern die Kenntnisse in dem Bereich fehlen. Deshalb<br />
werden in<br />
diesem Vortrag die zukünftig erforderlichen Grundlagen von Privacy by<br />
Design erläutert und Beispiele geliefert, die sich bei der Entwicklung<br />
von Webapplikationen in der Praxis bewährt haben. Dabei werden auch die<br />
sieben Prinzipien von Privacy by Design nach Ann Cavoukian (kanadische<br />
Mitgründerin des Konzepts) vorgestellt. <br />
<br />
Neben dem datenschutzfreundlichen Design von Produkten<br />
bzw. Applikationen z.B. durch Anonymisierung, Verschlüsselung und<br />
Datensparsamkeit gelten u.A.Transparenz, Datenschutz als<br />
Standard-Einstellung (Default) und der Schutz von Daten im kompletten<br />
Lebenszyklus als zentrale Aspekte von Privacy by Design. Die Vorgaben<br />
gelten aber nicht nur für die Applikation selbst, sondern auch für die<br />
Prozesse rund um die Entwicklung und den Transfer von Daten z.B.<br />
während der Migration. <br />
<br />
Für existierende Webanwendungen sollte nach der<br />
für 2014 geplanten Einführung der neuen Richtlinie ein "Privacy by<br />
Redesign" in Erwägung gezogen werden, um fehlende Datenschutz-Maßnahmen<br />
nachträglich zu implementieren. Ein derartiges Vorgehen wird im Vortrag<br />
am Beispiel des sozialen Netzwerks Facebook vorgestellt, das in der<br />
Vergangenheit durch seinen umstrittenen Umgang mit den Daten seiner<br />
Nutzer aufgefallen ist. Es wird untersucht, ob und wie man das soziale<br />
Netzwerk konform zum Konzept Privacy by Design machen könnte, denn die<br />
neuen europäischen Datenschutzvorgaben sollen auch für<br />
nicht-europäische Unternehmen gelten, wenn sie Daten von EU-Bürgern<br />
speichern oder verarbeiten.<br />
<br />
<br><br />
<br />
=== Bastian Braun, Patrick Gemein und Hans Reiser — Der Weg ist das Ziel: Kontrollfluss-Integrität in Web-Applikationen sichern ===<br />
<br />
Moderne Web-Applikationen implementieren häufig komplexe<br />
Kontrollflüsse, die erfordern, dass die Benutzer ihre Aktionen in einer<br />
bestimmten Reihenfolge ausführen. Die Benutzer interagieren mit<br />
Web-Applikationen durch das Senden von HTTP-Anfragen (requests) mit<br />
Parametern und den Empfang von Antworten (responses), die Verweise<br />
(hyperlinks) enthalten und dadurch die nächsten Schritte bestimmen.<br />
Falls eine Web-Applikation darauf vertraut, dass Benutzer nur den in<br />
ihre Webseiten eingebundenen Verweisen folgen, können bösartige<br />
Benutzer Anfragen generieren, die auf Seiten des Betreibers der<br />
Web-Applikation Schaden anrichten.<br />
<br />
Analysen von Angriffen mit Benutzer-generierten Anfragen auf<br />
Web-Applikationen zeigen, dass die Ursache in der fehlenden<br />
Kontrollfluss-Definition und –Durchsetzung auf Serverseite zu finden<br />
ist. Unter anderem hat sich herausgestellt, dass die verwendeten<br />
Parameter ein wichtiger Aspekt der Wirkung von Anfragen sind. Darauf<br />
aufbauend haben wir einen Kontrollfluss-Monitor entwickelt, der sowohl<br />
bei existierenden als auch bei neu zu entwickelnden Web-Applikationen<br />
angewendet werden kann. Er wird über eine Kontrollfluss-Definition<br />
konfiguriert und garantiert der geschützten Web-Applikation, dass<br />
ausschließlich die definierten Anfrage-Sequenzen und erwartete<br />
Parameter von der Web-Applikation verarbeitet werden müssen. <br />
<br />
Der<br />
implementierte Kontrollfluss-Monitor verhindert Race Conditions, eine<br />
besondere Form von Angriffen auf die Kontrollfluss-Integrität von<br />
Web-Applikationen. Darüber hinaus unterstützt er aktuelle<br />
Browser-Features wie Multitabbing und die Verwendung des<br />
"Zurück"-Knopfes. Die Evaluierung ergab, dass der Kontrollfluss-Monitor<br />
einen erträglichen Overhead verursacht.<br />
<br />
<br><br />
<br />
=== Marcus Niemietz — UI-Redressing-Angriffe auf Android ===<br />
<br />
Bereits im Jahr 2002 war der Security-Community intuitiv klar, dass<br />
transparente Elemente innerhalb eines Webbrowsers eine Gefahr für den<br />
Benutzer darstellen. Dies resultierte unmittelbar aus der Überlegung,<br />
dass ein Opfer auf ein Element wie eine Schaltfläche klicken kann, ohne<br />
zu sehen das ein Klick auf diese Schaltfläche erfolgt. Das daraus<br />
abgeleitete Verfahren wurde im Jahr 2008 neu aufgegriffen und mit dem<br />
Begriff Clickjacking bezeichnet. Dabei hatte ein Angreifer die<br />
Möglichkeit einen automatischen Zugriff auf die Kamera sowie das<br />
Mikrofon eines Opfers (ohne dessen Wissen) zu erhalten. Seit dem Jahr<br />
2008 hat sich eine Vielfalt von auf Clickjacking basierenden Angriffen<br />
gebildet, die heutzutage unter der Angriffsmenge des UI-Redressing<br />
fallen.<br />
<br />
In diesem Vortrag wird gezeigt, welche UI-Redressing-Angriffe und<br />
Gegenmaßnahmen sich auf das Betriebssystem Android übertragen lassen.<br />
Dabei wird ein Schwerpunkt auf Clickjacking ähnliche Angriffsmethoden<br />
(Tapjacking) gelegt, die keinen Webbrowser benötigen. Ein Angreifer<br />
kann daher mit einer Applikation, die bspw. keine Rechte zum<br />
telefonieren hat, mit nur einer Touch-Geste eine beliebige und vom<br />
Angreifer definierte Telefonnummer ungewollt anrufen.<br />
<br />
<br><br />
<br />
=== ''Closing Note'': Angela Sasse — Making systems secure and usable - what can software developers do ===<br />
<br />
<br><br />
<br />
== Sprecher ==<br />
<br />
(in alphabetischer Ordnung)<br />
<br />
=== Simon Bennetts ===<br />
<br />
(a.k.a. Psiinon) has been developing web applications since<br />
1997, and strongly believes that you cannot build secure web applications<br />
without knowing how to attack them.<br />
He works for Mozilla as part of their Security Team.<br />
<br />
Some of the projects Simon works on:<br />
*OWASP Zed Attack Proxy project lead<br />
*OWASP Data Exchange Format project lead<br />
*Bodge It Store project lead<br />
*OWASP AppSensor contributor<br />
*wavsep contributor<br />
'Penetration Testing for Developers' blog author<br />
<br />
He is also one of the chapter leaders for the OWASP Manchester chapter.<br />
<br />
Simon has a B.Sc in Computing and Information Systems from Manchester<br />
University.<br />
<br />
<br><br />
<br />
=== Bastian Braun ===<br />
<br />
erhielt sein Diplom in Informatik und sein Vordiplom in<br />
Betriebswirtschaftslehre an der RWTH Aachen im Sommer 2006. Danach<br />
schloss er sich als Doktorand der Forschungsgruppe „Sicherheit in<br />
Verteilten Systemen“ an der Uni Hamburg an. 2008 folgte er seinem<br />
Doktorvater Joachim Posegga an die Uni Passau, wo er seitdem Mitglied<br />
des Instituts für IT-Sicherheit und Sicherheitsrecht ist. Zur Zeit<br />
arbeitet er an dem EU-Forschungsprojekt WebSand als Leiter des<br />
Arbeitspakets für sichere Web-Interaktion.<br />
<br />
<br><br />
<br />
=== Dr. Mario Heiderich ===<br />
<br />
arbeitet als Forscher für die Ruhr-Universität in<br />
Bochum, findet Lücken im IE und anderen Tools für Microsoft in Redmond<br />
und arbeitet im wesentlichen im Bereich HTML5- und SVG- und<br />
Browser-Sicherheit. <br />
<br />
Mario glaubt allen ernstes, man könne XSS mittels<br />
JavaScript verhindern und besiegen, schrieb darüber eine Dissertation<br />
und hat auch sonst eher wunderliche Ansichten. <br />
<br />
In der verbleibenden<br />
Zeit pen-testet und berät Mario diverse DAX-Unternehmen, spricht auf<br />
internationalen Konferenzen und hat irrationale Freude am Finden von<br />
Bugs und Designfehlern.<br />
<br />
<br><br />
<br />
=== Volkmar Lotz ===<br />
<br />
Volkmar Lotz has more than 20 years experience in industrial research on Security and Software Engineering. He is heading the Security & Trust practice of SAP Research, a group of 40+ researchers investigating into applied research and innovative security solutions for modern software platforms, networked enterprises and Future Internet applications. The Security & Trust practice defines and executes SAP's security research agenda in alignment with SAP's business strategy and global research trends. <br />
<br />
Volkmar’s current research interests include Business Process Security, Service Security, Authorisation, Security Engineering, Formal Methods and Compliance. Volkmar has published numerous scientific papers in his area of interest and is regularly serving on Programme Committees of internationally renowned conferences. He has been supervising various European projects, including large-scale integrated projects. Volkmar holds a diploma in Computer Science from the University of Kaiserslautern.<br />
<br />
<br><br />
<br />
=== Jim Manico ===<br />
<br />
is the VP of Security Architecture for WhiteHat<br />
Security. Jim is also the host of the OWASP Podcast Series, is the<br />
committee chair of the OWASP Connections Committee, is the project<br />
manager of the OWASP Cheatsheet series, and is a significant contributor<br />
to several additional OWASP projects. Jim provides secure coding and<br />
developer awareness training for WhiteHat Security using his 8+ years of<br />
experience delivering developer-training courses for SANS, Aspect<br />
Security and others. He brings 16 years of database-driven Web software<br />
development and analysis experience to WhiteHat and OWASP as well. Jim<br />
works on the beautiful island of Kauai, Hawaii where he lives with his<br />
wife Tracey.<br />
<br />
<br><br />
<br />
=== Marcus Niemietz ===<br />
<br />
forscht an der Ruhr-Universität Bochum nach Methoden,<br />
um Hackern einen Schritt voraus zu sein und sowohl UI-Redressing als<br />
auch Cross-Site Scripting Angriffe zu verhindern. Er ist ein aktiver<br />
Sprecher auf zahlreichen internationalen IT-Security Konferenzen; in<br />
der Vergangenheit u. a. auf der Hackerkonferenz von Microsoft in<br />
Redmond. Darüber hinaus arbeitet er als Penetrationstester und<br />
Web-Security-Trainer. Marcus Niemietz ist ein publizierender Buchautor<br />
im Bereich der Websicherheit.<br />
<br />
<br><br />
<br />
=== Matthias Rohr ===<br />
<br />
(CISSP, CSSLP, CCSK) ist selbstständiger Berater für<br />
Anwendungssicherheit und momentan wohnhaft in London. Er befasst sich<br />
schwerpunktmäßig mit Konzeption und Management von Anwendungssicherheit<br />
in Enterprise Umgebungen sowie mit entwicklungsnahen Sicherheitsthemen.<br />
<br />
<br><br />
<br />
=== Prof. M. Angela Sasse ===<br />
is the Professor of Human-Centred Technology and Head of Information Security Research in the Department of Computer Science at University College London. Since 1996, Prof. Sasse has been researching usability issues of security systems, and published research on effectiveness and usability of authentication mechanisms, access control mechanisms, user attitudes and perceptions to computer security, and human and financial cost of security mechanisms. She chairs the Cybersecurity KTN on Human Vulnerabilities in Security Systems, and teaches a Masters-level course at UCL, Oxford University, and the Defence Academy.<br />
<br />
<br><br />
<br />
=== Dr. Sebastian Schinzel ===<br />
<br />
forscht als Postdoc an der FAU Erlangen am<br />
Lehrstuhl für IT-Sicherheitsinfrastrukturen an den Themen<br />
Penetrationstests und Softwaresicherheit. Vor seiner akademischen<br />
Laufbahn hat er mehr als 7 Jahre als Penetrationstester, Berater und<br />
Autor in der Wirtschaft gearbeitet.<br />
<br />
<br><br />
<br />
=== Florian Stahl ===<br />
<br />
ist als Senior Consultant für Information Security bei<br />
der msg systems ag in München tätig. Er ist<br />
Diplom-Wirtschaftsinformatiker, Master of Computer Science, CISSP und<br />
CCSK und treibt die Umsetzung von Informationssicherheits- und<br />
Datenschutz-Anforderungen in zahlreichen Projekten zur Entwicklung oder<br />
Prüfung von Webanwendungen voran. Herr Stahl hat langjährige<br />
internationale Erfahrung in der Beratung und Schulung zu technischen<br />
und organisatorischen Datenschutz-Themen bei DAX-Unternehmen und ist<br />
Mitglied der IAPP (International Association of Privacy Professionals).<br />
Seine aktuellen Kernthemen sind Privacy by Design und Aspekte der<br />
überarbeiteten EU-Richtlinie zum Datenschutz.<br />
<br />
<br><br />
<br />
[[German_OWASP_Day_2012|[zurück]]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012&diff=138377German OWASP Day 20122012-10-30T16:10:41Z<p>Ingo Hanke: </p>
<hr />
<div>__TOC__<br />
<br />
[[Image:2012_owasp_day_w_480px.png|center|Logo 5th German OWASP Day]]<br />
<br />
<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center> <br />
<br> <br />
<br />
== German OWASP Day 2012 ==<br />
<br />
<span style="font-size:150%"><br />
An dem überaus erfolgreich verlaufenden OWASP Day [https://www.owasp.org/index.php/German_OWASP_Day_2011 2011] wollen wir 2012 anknüpfen. Wir haben zahlreiche spannende Vorträge für die fünfte Inkarnation unserer Konferenz und freuen uns auf die Teilnehmer.<br />
</span><br />
<br />
== Wann + Wo ==<br />
Mittwoch, den 7.11.2012, ab 9:00 bis zirka 18:00 Uhr<br />
<br />
Hotel <span style="text-decoration: underline">[http://www.dolcemunich.com/ Dolce Munich Unterschleissheim]</span> (Andreas-Danzer-Weg 1, 85716 Unterschleißheim)<br />
<br />
Die Vorabendveranstaltung wird im Augustiner Bräu München ab 19:30 Uhr stattfinden. Weitere Informationen, Anreise etc. sind <span style="text-decoration: underline">[[German_OWASP_Day_2012/Lokales#Abendveranstaltung | hier]]</span> zu finden.<br />
<br />
== CfP und Speaker Agreement ==<br />
<br />
Das Programmkomitee hatte zahlreiche hochklassige Beiträge zum OWASP Day 2012. Fachliche Details, Deadlines und mehr sind dem <br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/CfP|CfP]]</span> zu entnehmen.<br />
<br />
<br />
== Programm ==<br />
<br />
Die vollständige Agenda, alle Referenten und die Abstracts zu den Vorträgen finden Sie im <span style="text-decoration: underline">[[German_OWASP_Day_2012/Programm|Konferenzprogramm]]</span>.<br />
<br />
== Sponsoren ==<br />
<br />
Auch dieses Jahr gibt es wieder die Möglichkeit für interessierte Firmen, Ihren Support für das Open Web Application Security Project zu zeigen und sich in verschiedenen Formen während des OWASP Days 2012 zu präsentieren. Details haben wir auf einer<br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/Sponsoren|separaten Seite]]</span> zusammengestellt.<br />
<br />
<br />
== Übernachtungen/Anreise ==<br />
<br />
Für alle, die nicht aus München kommen, gibt es <span style="text-decoration: underline">[[German_OWASP_Day_2012/Lokales|hier]]</span> weitere Infos wie Abrufkontingente und ein paar lokale Informationen.<br />
<br />
<br />
== Registrierung + Eintrittspreise == <br />
<br />
Die Registrierung ist offen und erfolgt über [[http://reg.owasp.de reg.owasp.de]]<br />
<br />
<br><br />
<br />
Für den OWASP German Day 2012 gelten folgenden Preise (inkl. gesetzl. MwSt.): <br />
<br />
*Nicht-Mitglieder Early Bird: 260,00 €<br />
*Nicht-Mitglieder: 330,00 €<br />
*Mitglieder Early Bird: 220,00 €<br />
*Mitglieder: 260,00 €<br />
*Studenten: 70,00 €.<br />
<br />
Eine Registrierung zu Early-Bird-Preisen ist bis zum 30.9.2012 möglich. Ein gültiger Studenten- oder OWASP-Mitgliedsausweis o.ä. ist bei der Registrierung vor Ort vorzulegen. <br />
<br />
<br />
<br />
== Wir danken unseren Sponsoren ==<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:8em" | Platin<br />
|-<br />
| [[Image:Optimabit logo 692.33p.jpg|left|228x51px|link=http://www.optimabit.com/|www.optimabit.com]]<br />
|-<br />
| [[Image:Daimler-TSS Logo 227x62.png|left|227x62px|link=http://www.daimler-tss.de/|www.daimler-tss.de]]<br />
|}<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Gold <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Silber <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Bronze<br />
|-<br />
| [[Image:Sicsec-130x39.png|left|link=http://www.sicsec.de/|www.sicsec.de]] <br />
| [[Image:Isseco_logo_224x84.gif|left|link=http://www.isseco.org/|www.isseco.org]]<br />
| [[Image:TC-Logo-mit-Firmennamen-RGB.gif|left|link=http://www.tele-consulting.com|www.tele-consulting.com]]<br />
|-<br />
| [[Image:Schutzwerk-300x29.png|left|link=http://www.schutzwerk.com|www.schutzwerk.com]] <br />
| [[Image:Barracuda_200x61.png|left|link=https://www.barracudanetworks.com|www.barracuda.com]]<br />
| [[Image:1und1_Logo_4c_62x62.png|left|link=http://www.1und1.de/|www.1und1.de]]<br />
|-<br />
| [[Image:SecureNet-Logo-240x56.png|left|link=http://www.securenet.de|www.securenet.de]] <br />
|<br />
|<br />
|-<br />
| [[Image:denyall.jpg|left|link=http://www.denyall.com|www.denyall.com]] <br />
|<br />
|<br />
|-<br />
| [[Image:logo-infrasec-1.jpg|left|link=http://www.infrasec-ag.de|www.infrasec-ag.de]]<br />
|<br />
|<br />
|-<br />
| [[Image:Imperva 250x34.jpg|left|link=http://www.imperva.de|www.imperva.de]] <br />
|<br />
|<br />
|-<br />
| [[Image:Trustwave_Logo_270x47.png|left|link=http://www.trustwave.com|www.trustwave.com]] <br />
|<br />
|<br />
|}<br />
<br />
== Organisation ==<br />
<br />
*Birgit Bernskötter (Extern) <br />
<br />
*Hartwig Gelhausen<br />
*[[User:Ingo Hanke|Ingo Hanke]]<br />
*[[User:Achim|Achim Hoffmann]] (Board Member) <br />
*Martin Johns (Board Member)<br />
*[[User:Bruce Sams|Bruce Sams]] (Board Member) <br />
*[[User:Dr. Emin Tatlı|Emin Tatlı]] (Board Member)<br />
*[[User:Dirk Wetter|Dirk Wetter]] (Board Member)<br />
<br />
== Hash tag ==<br />
<br />
[https://twitter.com/#!/search/%23owasp_d2012 #owasp_d2012] <br />
<br />
<br> <headertabs /> <!-- this will sort under capital O<br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2011]]<br />
--> <br />
<br />
<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2012 <top>] <br />
<br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=File:Trustwave_Logo_270x47.png&diff=138376File:Trustwave Logo 270x47.png2012-10-30T16:08:34Z<p>Ingo Hanke: </p>
<hr />
<div></div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012&diff=137716German OWASP Day 20122012-10-17T09:42:57Z<p>Ingo Hanke: </p>
<hr />
<div>__TOC__<br />
<br />
[[Image:2012_owasp_day_w_480px.png|center|Logo 5th German OWASP Day]]<br />
<br />
<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center> <br />
<br> <br />
<br />
== German OWASP Day 2012 ==<br />
<br />
<span style="font-size:150%"><br />
An dem überaus erfolgreich verlaufenden OWASP Day [https://www.owasp.org/index.php/German_OWASP_Day_2011 2011] wollen wir 2012 anknüpfen. Wir freuen uns auf zahlreiche spannende Einreichungen für die fünfte Inkarnation unserer Konferenz.<br />
</span><br />
<br />
<br />
=== Wann + Wo ===<br />
Mittwoch, den 7.11.2012, ab 9:00 bis zirka 18:00 Uhr<br />
<br />
Hotel [http://www.dolcemunich.com/ Dolce Munich Unterschleissheim] (Andreas-Danzer-Weg 1, 85716 Unterschleißheim)<br />
<br />
Die Vorabendveranstaltung wird im Augustiner Bräu München ab 19:30 Uhr stattfinden.<br />
<br />
<br />
== CfP und Speaker Agreement ==<br />
<br />
Das Programmkomitee hatte zahlreiche hochklassige Beiträge zum OWASP Day 2012. Fachliche Details, Deadlines und mehr sind dem <br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/CfP|CfP]]</span> zu entnehmen.<br />
<br />
<br />
== Programm ==<br />
<br />
Die vollständige Agenda, alle Referenten und die Abstracts zu den Vorträgen finden Sie im <span style="text-decoration: underline">[[German_OWASP_Day_2012/Programm|Konferenzprogramm]]</span>.<br />
<br />
== Sponsoren ==<br />
<br />
Auch dieses Jahr gibt es wieder die Möglichkeit für interessierte Firmen, Ihren Support für das Open Web Application Security Project zu zeigen und sich in verschiedenen Formen während des OWASP Days 2012 zu präsentieren. Details haben wir auf einer<br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/Sponsoren|separaten Seite]]</span> zusammengestellt.<br />
<br />
<br />
== Übernachtungen/Anreise ==<br />
<br />
Für alle, die nicht aus München kommen, gibt es <span style="text-decoration: underline">[[German_OWASP_Day_2012/Lokales|hier]]</span> weitere Infos wie Abrufkontingente und ein paar lokale Informationen.<br />
<br />
<br />
== Registrierung + Eintrittspreise == <br />
<br />
Die Registrierung ist offen und erfolgt über [[http://reg.owasp.de reg.owasp.de]]<br />
<br />
<br><br />
<br />
Für den OWASP German Day 2012 gelten folgenden Preise (inkl. gesetzl. MwSt.): <br />
<br />
*Nicht-Mitglieder Early Bird: 260,00 €<br />
*Nicht-Mitglieder: 330,00 €<br />
*Mitglieder Early Bird: 220,00 €<br />
*Mitglieder: 260,00 €<br />
*Studenten: 70,00 €.<br />
<br />
Eine Registrierung zu Early-Bird-Preisen ist bis zum 30.9.2012 möglich. Ein gültiger Studenten- oder OWASP-Mitgliedsausweis o.ä. ist bei der Registrierung vor Ort vorzulegen. <br />
<br />
<br />
<br />
== Wir danken unseren Sponsoren ==<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:8em" | Platin<br />
|-<br />
| [[Image:Optimabit logo 692.33p.jpg|left|228x51px|link=http://www.optimabit.com/|www.optimabit.com]]<br />
|-<br />
| [[Image:Daimler-TSS Logo 227x62.png|left|227x62px|link=http://www.daimler-tss.de/|www.daimler-tss.de]]<br />
|}<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Gold <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Silber <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Bronze<br />
|-<br />
| [[Image:Sicsec-130x39.png|left|link=http://www.sicsec.de/|www.sicsec.de]] <br />
| [[Image:Isseco_logo_224x84.gif|left|link=http://www.isseco.org/|www.isseco.org]]<br />
| [[Image:TC-Logo-mit-Firmennamen-RGB.gif|left|link=http://www.tele-consulting.com|www.tele-consulting.com]]<br />
|-<br />
| [[Image:Schutzwerk-300x29.png|left|link=http://www.schutzwerk.com|www.schutzwerk.com]] <br />
| [[Image:Barracuda_200x61.png|left|link=https://www.barracudanetworks.com|www.barracuda.com]]<br />
| [[Image:1und1_Logo_4c_62x62.png|left|link=http://www.1und1.de/|www.1und1.de]]<br />
|-<br />
| [[Image:SecureNet-Logo-240x56.png|left|link=http://www.securenet.de|www.securenet.de]] <br />
|<br />
|<br />
|-<br />
| [[Image:denyall.jpg|left|link=http://www.denyall.com|www.denyall.com]] <br />
|<br />
|<br />
|-<br />
| [[Image:logo-infrasec-1.jpg|left|link=http://www.infrasec-ag.de|www.infrasec-ag.de]]<br />
|<br />
|<br />
|-<br />
| [[Image:Imperva 250x34.jpg|left|link=http://www.imperva.de|www.imperva.de]] <br />
|<br />
|<br />
|}<br />
<br />
== Organisation ==<br />
<br />
*Birgit Bernskötter (Extern) <br />
<br />
*Hartwig Gelhausen<br />
*[[User:Ingo Hanke|Ingo Hanke]]<br />
*[[User:Achim|Achim Hoffmann]] (Board Member) <br />
*Martin Johns (Board Member)<br />
*[[User:Bruce Sams|Bruce Sams]] (Board Member) <br />
*[[User:Dr. Emin Tatlı|Emin Tatlı]] (Board Member)<br />
*[[User:Dirk Wetter|Dirk Wetter]] (Board Member)<br />
<br />
== Hash tag ==<br />
<br />
[https://twitter.com/#!/search/%23owasp_d2012 #owasp_d2012] <br />
<br />
<br> <headertabs /> <!-- this will sort under capital O<br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2011]]<br />
--> <br />
<br />
<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2012 <top>] <br />
<br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=File:Daimler-TSS_Logo_227x62.png&diff=137714File:Daimler-TSS Logo 227x62.png2012-10-17T09:35:07Z<p>Ingo Hanke: </p>
<hr />
<div></div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012/Programm&diff=135590German OWASP Day 2012/Programm2012-09-10T15:06:28Z<p>Ingo Hanke: </p>
<hr />
<div>__NOTOC__<br />
<br />
== Agenda / Presentations ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | '''Mittwoch, 07. November 2012''' <br />
<br> <br />
<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | <br> <br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Auditorium 1 <br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Auditorium 2<br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Auditorium 3 (Mobile Applications Track)<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' -- N.N.<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Keynote: Volkmar Lotz'''<br> ''Security-Ausbildung in einem Großunternehmen der Softwareindustrie - Erfahrungen und Herausforderungen'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30 <br />
| align="center" colspan="4" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP Introduction'''<br> ''Jim Manico, co-presented by Jerry Hoff'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:45 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | XSS von 1999 bis 2013 - Die Doctrine Classique der Websicherheit <br> ''Mario Heiderich'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Code Review: Prinzipien, Grenzen und Organisation <br> ''Bruce Sams''<br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:30 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Lost in Translation: Missverständnisse zwischen Mensch/Mensch und Mensch/Maschine und deren Auswirkungen auf Web-Security <br> ''Sebastian Schinzel'' <br> <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | On Breaking SAML: Be Whoever You Want to Be <br> ''Juraj Somorovsky und Christian Mainka''<br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:15 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | ''1000 Projekte später: Statische Codeanalyse im Großunternehmen'' <br> ''Rüdiger Bachmann und Achim D. Brucker'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | OWASP Zed Attack Proxy <br> ''Simon Bennetts'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:15 - 15:00 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Threat Modeling von Webanwendungen: Mythen und Best Practices <br> ''Matthias Rohr'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Sheet Cheats <br> ''Jim Manico'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:30 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:30 - 16:05 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Sicherheitsanforderungen: oft vernachlässigt, dabei sehr nützlich! <br> ''Sachar Paulus'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Node.js Security - Old vulnerabilities in new bottles <br> ''Sven Vetsch'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Laufzeitanalyse & Manipulation von Apple iOS Apps <br> ''Andreas Kurtz'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:05 - 16:40 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | A CAPTCHA in the Rye <br> ''Robert Rachwald'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Lightweight Integrity Protection for Web Storage-driven Content Caching <br> ''Sebastian Lekies'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | The Dark Side of Android Applications <br> ''Michael Spreitzenbarth'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:40 - 17:15 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Privacy by Design am Beispiel Facebook <br> ''Florian Stahl'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Der Weg ist das Ziel - Kontrollfluss-Integrität in Web-Applikationen sichern <br> ''Bastian Braun, Patrick Gemein and Hans Reiser'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | UI-Redressing-Angriffe auf Android <br> ''Marcus Niemietz'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 18:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Closing Note: Angela Sasse''' <br>''Making systems secure and usable - what can software developers do''<br />
|}<br />
<br />
<br> <br />
<br />
== Details zu den Vorträgen ==<br />
<br />
<br> <br />
<br />
=== ''Keynote'': Volkmar Lotz — Security-Ausbildung in einem Großunternehmen der Softwareindustrie - Erfahrungen und Herausforderungen ===<br />
<br />
<br> <br />
<br />
=== ''OWASP Introduction'': Jim Manico, co-presented by Jerry Hoff ===<br />
<br />
<br> <br />
<br />
=== Mario Heiderich: XSS von 1999 bis 2013 - Die Doctrine Classique der Websicherheit ===<br />
<br />
Cross-Site Scripting Angriffe wurden erstmals vor circa 14 Jahren<br />
dokumentiert. Seitdem hat diese Angriffstechnik eine Evolution<br />
durchzogen, die klassischen Dramentheorie ähnelt - inklusive<br />
Katastase, Heldentum und Peripetie.<br />
<br />
Nun hält HTML Einzug in die Welt der Betriebssysteme, und das Drama<br />
XSS befindet sich an der Baumgrenze zur Katastrophe - der harmlose<br />
"Alert" hat sich zum schwarzen Schwan beliebiger Code-Ausführung im<br />
Betriebssystem gewandelt.<br />
<br />
Dieser Vortrag zeigt die Evolution der Angriffstechnik XSS, untersucht<br />
unser aller Fehler in der bisherig angewandten Bekämpfung, bietet<br />
konsequente Ausblicke und schließt mit Denkanstößen für das Jahr 2013<br />
und fortfolgend.<br />
<br />
<br> <br />
<br />
=== Bruce Sams: Code Review: Prinzipien, Grenzen und Organisation ===<br />
<br />
Code Review ist ein immer beliebteres Mittel, um<br />
Schwachstellen im Code während der Entwicklung zu entdecken. Dieser<br />
Vortrag zeigt wie ein effektiver Code Review gestaltet und durchgeführt<br />
wird. Zuerst werden die Prinzipien von Code Review anhand von aktuellen<br />
Beispielen in Java/JEE erläutert: Cross-Site-Scripting, SQL-Injection,<br />
Command-Injection und die Validierung von Eingabedaten werden<br />
besprochen und Lösungen gezeigt, wie derartige Schwachstellen<br />
identifiziert werden können. Danach werden problematische Fälle wie<br />
z.B. HashMaps und dynamisch geladene Klassen untersucht. Im Allgemeinen<br />
wird das Thema Tracing über mehrere Aufrufe hinweg erklärt, und das<br />
Verhältnis False Positive zu False Negative angesprochen.<br />
<br />
Zur Verdeutlichung der Beispiele wird das Open Source Tool FindBugs<br />
verwendet. Darüber hinaus wird ein neuer Satz von über 30 Detektoren<br />
für Findbugs vorgestellt. Diese Detektoren identifizieren<br />
Schwachstellen, die standardmäßig unentdeckt bleiben.<br />
Zum Abschluss wird die Organisation eines Reviews besprochen und die<br />
Integration von Code Review in dem sicheren SDLC vorgestellt. Diese<br />
Diskussion basiert auf eingehende Erfahrung in mehreren deutschen<br />
Großunternehmen.<br />
<br />
Am Ende hat der Teilnehmer einen Überblick über die Vorteile und auch<br />
die Grenzen von Code Review und weiß, wie ein effektiver Review<br />
gestalten werden soll.<br />
<br />
<br> <br />
<br />
=== Sebastian Schinzel: Lost in Translation: Missverständnisse zwischen Mensch/Mensch und Mensch/Maschine und deren Auswirkungen auf Web-Security ===<br />
<br />
Wir schreiben das Jahr 2012 und in vielen<br />
Web-Entwicklungsprojekten wird das Thema "Sicherheit" noch immer als<br />
notwendiges Übel angesehen. Gerade erfahrene Entwickler sind oft zu<br />
sehr überzeugt von ihrer eigenen Codequalität, als dass sie offen für<br />
Feedback und konstruktive Kritik sind. Wenn es hart-auf-hart kommt, und<br />
Sie sich als Sicherheitsexperte gegen solche Entwickler behaupten<br />
wollen, dann benötigen Sie gute Argumente.<br />
<br />
In diesem interaktiven Vortrag stelle ich einige scheinbar trivial<br />
verständliche Quellcodebeispiele vor, die selbst von erfahrenen<br />
Programmierern (und wahrscheinlich auch vom OWASP Publikum) falsch<br />
verstanden werden. Weiterhin untersuche ich einige öffentlich gewordene<br />
Backdoors, die von Angreifern in den Quellcode der Web-Anwendungen<br />
eingeschleust wurden. Aus den Beispielen wird klar, dass viele<br />
Backdoors auf den ersten Blick (und auch auf den zweiten) harmlos<br />
aussehen, und die Schadroutine nur bei sehr genauem Hinsehen klar wird.<br />
<br />
Die vorgestellten Beispiele verwende ich regelmäßig in Workshops, um<br />
übermäßig selbstbewussten Web-Entwicklern zu veranschaulichen, dass<br />
auch sie in ihrem Verständnis von Quellcode nicht unfehlbar sind. Das<br />
ist eine wichtige Erkenntnis, um einzusehen, dass niemand vor<br />
Sicherheitsschwachstellen gefeit ist und dass selbst erfahrene<br />
Web-Entwickler regelmäßig in sicherer Softwareentwicklung geschult<br />
werden müssen.<br />
<br />
<br> <br />
<br />
=== Juraj Somorovsky and Christian Mainka: On Breaking SAML - Be Whoever You Want to Be ===<br />
<br />
The Security Assertion Markup Language (SAML) is a widely<br />
adopted language for making security statements about subjects. It is a<br />
critical component for the development of federated identity<br />
deployments and Single Sign- On scenarios. In order to protect<br />
integrity and authenticity of the exchanged SAML assertions, the XML<br />
Signature standard is applied. However, the signature verification<br />
algorithm is much more complex than in traditional signature formats<br />
like PKCS#7. The integrity protection can thus be successfully<br />
circumvented by application of different XML Signature specific<br />
attacks, under a weak adversarial model.<br />
<br />
In this talk we describe an in-depth analysis of 14 major SAML<br />
frameworks and show that 11 of them, including Salesforce, Shibboleth,<br />
and IBM XS40, have critical XML Signature wrapping vulnerabilities. We<br />
present efficient and practical countermeasures to thwart these<br />
attacks. Moreover, based on our analysis, we developed an automated<br />
penetration testing tool for XML Signature Wrapping called WS-Attacker.<br />
We discuss its main features and its application to SAML-based<br />
frameworks.<br />
<br />
<br> <br />
<br />
=== Rüdiger Bachmann and Achim D. Brucker: 1000 Projekte später: Statische Codeanalyse im Großunternehmen ===<br />
<br />
Statische Code Analyse (SCA) spielt im<br />
Softwareentwicklungsprozess (SDLC) eine wichtige Rolle um mögliche<br />
Sicherheitsschwachstellen bereits zur Entwicklungszeit zu finden und zu<br />
beheben.<br />
Die großflächige Einführung statischer Code Analyse bei einem großen<br />
Softwarehersteller stellt eine große Herausforderung dar. Neben den<br />
technischen Schwierigkeiten durch die schiere Anzahl und Größe der<br />
Softwareprojekte oder der Vielzahl unterschiedlicher<br />
Programmiersprachen (ABAP, C, Objective-C, JavaScript, ...), ergeben<br />
sich auch nicht-technische Probleme wie die Schaffung des notwendigen<br />
Problembewusstseins, Schulung der Mitarbeiter im Umgang der verwendeten<br />
Tools, Einbindung der Analyse in vorhandene Entwicklungs- und<br />
Wartungsprozesse.<br />
In diesem Vortrag berichten wir von unseren Erfahrungen in der<br />
großflächigen Einführung von statischer Code Analyse innerhalb der SAP<br />
AG.<br />
<br />
<br> <br />
<br />
=== Simon Bennetts: OWASP Zed Attack Proxy ===<br />
<br />
The OWASP Zed Attack Proxy (ZAP) is an easy to use integrated<br />
penetration testing tool for finding vulnerabilities in web<br />
applications.<br />
<br />
It is community project, being maintained by a worldwide group of<br />
volunteers and is completely free, open source and cross platform.<br />
Since its release in 2010 ZAP has gone from strength to strength and is<br />
now a flagship OWASP project.<br />
Simon (the ZAP project lead) will :<br />
<br />
* Introduce ZAP to those who have not encountered it before<br />
* Detail the new features in the most recent releases<br />
* Explain the 3 ZAP related Google Summer of Code projects<br />
* Talk about the future plans<br />
<br />
<br> <br />
<br />
=== Matthias Rohr: Threat Modeling von Webanwendungen: Mythen and Best Practices ===<br />
<br />
Mittels einer Bedrohungsmodellierung (engl. Threat Modelling)<br />
lassen sich Risiken, wie etwa potentielle Schwachstellen, bereits<br />
frühzeitig im Rahmen der Entwicklung einer Webanwendung identifizieren<br />
und mit entsprechenden Maßnahmen entgegenwirken. Auch können<br />
Penetrationstests und andere Testmethoden auf Basis eines bestehenden<br />
Bedrohungsmodells in der Regel deutlich effektiver geplant und<br />
durchgeführt werden.<br />
<br />
In der Praxis ist die konkrete Durchführung allerdings häufig mit<br />
zahlreichen Schwierigkeiten verbunden. So existieren zwar einige<br />
konkrete Vorgehensweisen (z.B. Microsoft, PASTA, T-MAP, TRIKE sowie<br />
gleich mehrere auf der OWASP-Webseite selbst), doch verfolgen diese<br />
teilweise recht unterschiedliche Ansätze und eignen sich gewöhnlich<br />
auch nur für bestimmte Anwendungsszenarios und Zielgruppen. Auch<br />
deshalb ist die Verwirrung beim Thema Bedrohungsmodellierung häufig<br />
recht groß.<br />
<br />
Im Rahmen dieses Vortrages, der auf mehrjährigen Erfahrungen mit der<br />
der Erstellung von Bedrohungsmodellen von Webanwendungen basiert,<br />
werden zahlreiche geläufige Mythen aufgeklärt und entsprechende Best<br />
Practices erläutert. Weiterhin wird eine praxisbezogene Vorgehensweise<br />
vorgestellt, mit der sich die Durchführung von Bedrohungsmodellierungen<br />
leicht skalieren, in unterschiedlichen Szenarien einbinden und effektiv<br />
in bestehende Entwicklungsprozesse integrieren lässt.<br />
<br />
<br> <br />
<br />
=== Jim Manico: Sheet Cheats ===<br />
<br />
We cannot hack or firewall our way secure. Application programmers need<br />
to learn to code in a secure fashion if we have any chance of providing<br />
organizations with proper defenses in the current threatscape. This talk<br />
will discuss the 10 most important security-centric computer programming<br />
techniques necessary to build low-risk web-based applications. This talk<br />
is best suited for technical web application development professionals<br />
at any stage of the software development lifecycle.<br />
<br />
<br> <br />
<br />
=== Sachar Paulus: Sicherheitsanforderungen: oft vernachlässigt, dabei sehr nützlich! ===<br />
<br />
Die Formulierung von Sicherheitsanforderungen findet in<br />
vielen Projekten so gut wie nie statt - doch wie soll eine Software<br />
"sicher" sein, wenn noch nicht einmal klar ist, was "sicher" bedeuten<br />
soll.<br />
<br />
Dieser Vortrag gibt einen Überblick wie Kunden und Nutzer von Software<br />
und Software-Entwicklungsprojekten durch recht schlanke Prozesse zur<br />
Erstellung von Sicherheitsanforderungen die Sicherheit der verwendeten<br />
Applikationen deutlich verbessern können.<br />
<br />
Für das Testen auf Sicherheit, also die Untersuchung von Software auf<br />
Schwachstellen werden meist Prüfkataloge und Best Practices<br />
herangezogen, die die Erfahrungen und das Know-How der testenden<br />
Organisation widerspiegeln, und leider nicht die Aspekte, die ein<br />
gezielter Angriff mit entsprechender Vorab-Analyse ausnutzen würde. Das<br />
ist in etwa vergleichbar mit dem Bild, bei dem ein betrunkener Mann<br />
seinen verlorenen Hausschlüssel im Lichtkreis einer Laterne sucht - und<br />
nicht da, wo er ihn verloren hat, mit der Begründung: im Licht sehe er<br />
wenigstens etwas…<br />
<br />
Die Lösung dieser Problematik besteht darin, dass man das, was getestet<br />
(und natürlich vorher entwickelt) werden soll, überhaupt erst einmal<br />
erfasst und beschreibt. So wie es für funktionale Anforderungen seit<br />
Jahren üblich ist, so müssen auch nicht-funktionale Anforderungen, hier<br />
speziell Sicherheitsanforderungen, auch aufgenommen und dokumentiert<br />
werden.<br />
<br />
Für die Ermittlung von Sicherheitsanforderungen kann sehr gut eine<br />
vereinfachte Variante der Bedrohungsmodellierung herhalten. Um das<br />
Testen einfacher zu machen, können für nicht-funktionale Anforderungen<br />
Akzeptanzkritrien formuliert werden. Dies sind nur zwei einfache<br />
Werkzeuge, diese werden im Vortrag ausführlicher dargestellt.<br />
<br />
<br> <br />
<br />
=== Sven Vetsch: Node.js Security - Old vulnerabilities in new bottles ===<br />
<br />
New technologies are a good thing as they drive innovation.<br />
Especially in the web world, innovation is what lead to todays<br />
popularity of sites like Google, Twitter and Facebook. Regarding<br />
security, new technologies also come with the possibility to avoid<br />
known security issues already in the design of a technology or for<br />
example a new programming language. Unfortunately most of the time,<br />
security is not a main focus and therefor also known faults are done<br />
over and over again. In addition to this, new technologies also tend to<br />
invent new vulnerability classes or at least open new ways to exploit<br />
known security issues.<br />
<br />
In this talk I'll take as a practical example the Node (Node.js)<br />
project which allows server side non-blocking JavaScript development.<br />
It's great to have the same language for the frontend as for the<br />
backend as it makes things much easier to connect and also the frontend<br />
and backend developers can better understand each others work. Many<br />
people still think about JavaScript as static *.js files somewhere in a<br />
web accessible directory which is not security relevant as it's static.<br />
This is simply not the case. In the past there where already a lot of<br />
reported security problems related to JavaScript so the question is:<br />
Will those problems also affect Node? I will answer this and more<br />
questions during the talk but be assured, we'll end up with a reverse<br />
shell ;)<br />
<br />
<br> <br />
<br />
=== Andreas Kurtz: Laufzeitanalyse & Manipulation von Apple iOS Apps ===<br />
<br />
Mit der Veröffentlichung des Software Development Kits für<br />
die Apple iOS Plattform im Jahr 2008, wurde es erstmals offiziell<br />
möglich, Apples mobile Geräte um eigenentwickelte Applikationen (Apps)<br />
zu erweitern. Seit dieser Zeit wurden in Apples App Store mehr als<br />
650.000 Apps bereitgestellt und diese über 30 Milliarden Mal<br />
heruntergeladen (Stand: Juni 2012).<br />
<br />
iOS Apps werden dabei primär in Objective-C entwickelt. Objective-C ist<br />
eine objektorientierte Erweiterung und strikte Obermenge der<br />
Programmiersprache C, deren Syntax und Konzeption stark an Smalltalk<br />
angelehnt ist. Ähnlich wie viele andere moderne Programmiersprachen,<br />
bietet auch die Objective-C Laufzeitumgebung eine umfangreiche<br />
Reflection-API. Diese ermöglicht den Zugriff sowie die Manipulation von<br />
Klassen und Methoden zur Laufzeit. Dadurch können interne App-Zustände<br />
und Abläufe zur Laufzeit beliebig manipuliert werden.<br />
<br />
Im Rahmen des Vortrags werden zunächst die Hintergründe und<br />
erforderlichen Techniken zur Laufzeitmanipulation von iOS Apps<br />
erläutert: Durch das Einbringen von Bibliotheken in den Prozess einer<br />
laufenden App wird diese nachträglich um Debugging-Funktionalitäten<br />
erweitert. Anschließend können darüber interne Abläufe untersucht und<br />
verändert, vorhandene Methoden beliebig ausgeführt oder deren<br />
Implementierung überschrieben werden. Anhand einiger Praxisbeispiele<br />
wird demonstriert, wie die Laufzeitmanipulation das Reverse Engineering<br />
von Apps erleichtern kann und welche neuen Bedrohungen daraus für<br />
mobile Apps resultieren.<br />
<br />
<br> <br />
<br />
=== Robert Rachwald: A CAPTCHA in the Rye ===<br />
<br />
A CAPTCHA, or Completely Automated Public Turing test to tell<br />
Computers and Humans Apart, is a common security measures used to distinguish between humans<br />
and a "phony". Ideally, a CAPTCHA should distinguish human users from<br />
automated browsing applications, preventing automated tools from abusing online services.<br />
Hackers have deployed numerous methods to bypass CAPTCHAs, such as outsourcing<br />
readers to India or creating CAPTCHA games that reward users with<br />
pornographic images. <br />
<br />
The line between real and phony isn’t clear, forcing security professionals<br />
to present CAPTCHAs sub optimally.<br />
This talk will present several innovative CAPTCHA methods have appeared<br />
recently and review the use of CAPTCHAs as a security mechanism against<br />
malicious automation. We report and analyze four case studies and<br />
provide recommendations on ways to implement CAPTCHAs as an integrated<br />
part of a security strategy. Specifically, security teams should:<br />
<br />
* Use novel CAPTCHA methods that make the CAPTCHA into something<br />
enjoyable, like a mini-game.<br />
* Minimize the number of CAPTCHA challenges that legitimate users<br />
encounter. <br />
<br />
The idea is to present a CAPTCHA only when users exhibit<br />
suspicious behavior. To detect such, the site should use the other<br />
automation detection mechanisms.<br />
<br />
<br> <br />
<br />
=== Sebastian Lekies: Lightweight Integrity Protection for Web Storage-driven Content Caching ===<br />
<br />
The term Web storage summarizes a set of browser- based technologies<br />
that allow application-level persistent storage of key/values pairs on<br />
the client-side. These capabilities are frequently used for caching of<br />
markup or script code fragments, e.g., in scenarios with specific<br />
bandwidth or responsiveness requirements. <br />
<br />
Unfortunately, this practice<br />
is inherently insecure, as it may allow attackers to inject malicious<br />
JavaScript payloads into the browser’s Web storage. Such payloads<br />
reside in the victim’s browser for a potentially prolonged period and<br />
lead to resident compromise of the application’s client-side code.<br />
<br />
In this paper, we first present three possible attack scenarios that<br />
showcase how an attacker is able to inject code into web storage. Then<br />
we verify that Web storage is indeed used in the outlined, insecure<br />
fashion, via a large-scale study of the top 500.000 Alexa domains.<br />
Furthermore, we propose a lightweight integrity protecting mechanism<br />
that allows developers to store markup and code fragments in Web<br />
storage without risking a potential compromise. Our protection approach<br />
can be introduced without requiring browser modifications and<br />
introduces only negligible performance overhead.<br />
<br />
<br> <br />
<br />
=== Michael Spreitzenbarth: The Dark Side of Android Applications ===<br />
<br />
It is now well-known that, for various reasons, Android has<br />
become the leading OS for smartphones with more than 50% of worldwide<br />
market share within only a few years. This fast growth rate also has an<br />
evil side. Android brought backdoors and trojans to the yet spared<br />
Linux world with growth rates of over 3,000% in the last half of 2011<br />
and about 15,000 newly discovered malicious applications in the second<br />
quarter of 2012.<br />
<br />
These malicious apps are only seldomly obfuscated and very basic in<br />
their functionality. In this presentation, we will give a short<br />
overview of the existing malware families and their main<br />
functionalities. As an example, we will present the results of reverse<br />
engineering a paradigmatic malware sample of the FakeRegSMS family.<br />
This sample was chosen because it tries to implement the first very<br />
simple approaches of obfuscation and behavior hiding.<br />
<br />
Afterwards, we will show how actual malware detection systems are<br />
working. In this step we will concentrate on, often self-written,<br />
static detection modules. The detection mainly relais on the<br />
combination of permissions, receivers and API calls. Some of these<br />
systems also try to detect if an application is under- or<br />
over-privileged by comparing the API calls and the requested<br />
permissions. The well known systems (MobileSandbox and Andrubis) use a<br />
dynamic analysis with TaintDroid/DroidBox as an additional step. These<br />
systems perform taint-analysis and monitor sensitive data throughout<br />
the complete data-flow of the application. With this functionality it<br />
is possible to detect which sensitive data is leaving the device. With<br />
the knowledge we gained in this step, we will then discuss why<br />
developers should take care of permissions and ad-networks they use<br />
within their applications.<br />
<br />
Especially ad-networks are a reason why benign apps are detected as<br />
malicious with an increasing frequency. This happens because this<br />
networks often send sensitive user data like unique identifiers (IMEI,<br />
IMSI, etc.) and sometimes even stored contact and calendar entries over<br />
the Internet. One of the most aggressive ad-networks is mobclix, which<br />
tries to get access to stored account data, location of the user and<br />
even tries to get write access to contacts and calendar. The well known<br />
ad-library mOcean is even able to send SMS messages and start phone<br />
calls without user interaction and notice.<br />
<br />
We conclude with discussing the following questions: How do you get<br />
infected? What was the main goal of malware authors in recent malicious<br />
applications? And finally, how does the future of malware look like?<br />
<br />
<br> <br />
<br />
=== Florian Stahl: Privacy by Design am Beispiel Facebook ===<br />
<br />
Der Vorschlag für die Überarbeitung der Anfang des Jahres publizierten<br />
europäischen Datenschutzrichtlinie sieht vor das Konzept „Privacy by<br />
Design“ (PbD) verpflichtend zu machen. Dies wird auch bei der<br />
Entwicklung von Webanwendungen zu neuen Anforderungen führen, wenn<br />
diese personenbezogene Daten verarbeiten. Bisher wird Privacy by Design<br />
selten konsequent berücksichtigt, da Datenschutz kaum als explizite<br />
Anforderung im Pflichtenheft auftaucht und vielen Projektleitern und<br />
Softwareentwicklern die Kenntnisse in dem Bereich fehlen. Deshalb<br />
werden in<br />
diesem Vortrag die zukünftig erforderlichen Grundlagen von Privacy by<br />
Design erläutert und Beispiele geliefert, die sich bei der Entwicklung<br />
von Webapplikationen in der Praxis bewährt haben. Dabei werden auch die<br />
sieben Prinzipien von Privacy by Design nach Ann Cavoukian (kanadische<br />
Mitgründerin des Konzepts) vorgestellt. <br />
<br />
Neben dem<br />
datenschutzfreundlichen Design von Produkten<br />
bzw. Applikationen z.B. durch Anonymisierung, Verschlüsselung und<br />
Datensparsamkeit gelten u.A.Transparenz, Datenschutz als<br />
Standard-Einstellung (Default) und der Schutz von Daten im kompletten<br />
Lebenszyklus als zentrale Aspekte von Privacy by Design. Die Vorgaben<br />
gelten aber nicht nur für die Applikation selbst, sondern auch für die<br />
Prozesse rund um die Entwicklung und den Transfer von Daten z.B.<br />
während der Migration. <br />
<br />
Für existierende Webanwendungen sollte nach der<br />
für 2014 geplanten Einführung der neuen Richtlinie ein "Privacy by<br />
Redesign" in Erwägung gezogen werden, um fehlende Datenschutz-Maßnahmen<br />
nachträglich zu implementieren. Ein derartiges Vorgehen wird im Vortrag<br />
am Beispiel des sozialen Netzwerks Facebook vorgestellt, das in der<br />
Vergangenheit durch seinen umstrittenen Umgang mit den Daten seiner<br />
Nutzer aufgefallen ist. Es wird untersucht, ob und wie man das soziale<br />
Netzwerk konform zum Konzept Privacy by Design machen könnte, denn die<br />
neuen europäischen Datenschutzvorgaben sollen auch für<br />
nicht-europäische Unternehmen gelten, wenn sie Daten von EU-Bürgern<br />
speichern oder verarbeiten.<br />
<br />
<br> <br />
<br />
=== Bastian Braun, Patrick Gemein and Hans Reiser: Der Weg ist das Ziel - Kontrollfluss-Integrität in Web-Applikationen sichern ===<br />
<br />
Moderne Web-Applikationen implementieren häufig komplexe<br />
Kontrollflüsse, die erfordern, dass die Benutzer ihre Aktionen in einer<br />
bestimmten Reihenfolge ausführen. Die Benutzer interagieren mit<br />
Web-Applikationen durch das Senden von HTTP-Anfragen (requests) mit<br />
Parametern und den Empfang von Antworten (responses), die Verweise<br />
(hyperlinks) enthalten und dadurch die nächsten Schritte bestimmen.<br />
Falls eine Web-Applikation darauf vertraut, dass Benutzer nur den in<br />
ihre Webseiten eingebundenen Verweisen folgen, können bösartige<br />
Benutzer Anfragen generieren, die auf Seiten des Betreibers der<br />
Web-Applikation Schaden anrichten.<br />
<br />
Analysen von Angriffen mit Benutzer-generierten Anfragen auf<br />
Web-Applikationen zeigen, dass die Ursache in der fehlenden<br />
Kontrollfluss-Definition und –Durchsetzung auf Serverseite zu finden<br />
ist. Unter anderem hat sich herausgestellt, dass die verwendeten<br />
Parameter ein wichtiger Aspekt der Wirkung von Anfragen sind. Darauf<br />
aufbauend haben wir einen Kontrollfluss-Monitor entwickelt, der sowohl<br />
bei existierenden als auch bei neu zu entwickelnden Web-Applikationen<br />
angewendet werden kann. Er wird über eine Kontrollfluss-Definition<br />
konfiguriert und garantiert der geschützten Web-Applikation, dass<br />
ausschließlich die definierten Anfrage-Sequenzen und erwartete<br />
Parameter von der Web-Applikation verarbeitet werden müssen. <br />
<br />
Der<br />
implementierte Kontrollfluss-Monitor verhindert Race Conditions, eine<br />
besondere Form von Angriffen auf die Kontrollfluss-Integrität von<br />
Web-Applikationen. Darüber hinaus unterstützt er aktuelle<br />
Browser-Features wie Multitabbing und die Verwendung des<br />
"Zurück"-Knopfes. Die Evaluierung ergab, dass der Kontrollfluss-Monitor<br />
einen erträglichen Overhead verursacht.<br />
<br />
<br> <br />
<br />
=== Marcus Niemietz: UI-Redressing-Angriffe auf Android ===<br />
<br />
Bereits im Jahr 2002 war der Security-Community intuitiv klar, dass<br />
transparente Elemente innerhalb eines Webbrowsers eine Gefahr für den<br />
Benutzer darstellen. Dies resultierte unmittelbar aus der Überlegung,<br />
dass ein Opfer auf ein Element wie eine Schaltfläche klicken kann, ohne<br />
zu sehen das ein Klick auf diese Schaltfläche erfolgt. Das daraus<br />
abgeleitete Verfahren wurde im Jahr 2008 neu aufgegriffen und mit dem<br />
Begriff Clickjacking bezeichnet. Dabei hatte ein Angreifer die<br />
Möglichkeit einen automatischen Zugriff auf die Kamera sowie das<br />
Mikrofon eines Opfers (ohne dessen Wissen) zu erhalten. Seit dem Jahr<br />
2008 hat sich eine Vielfalt von auf Clickjacking basierenden Angriffen<br />
gebildet, die heutzutage unter der Angriffsmenge des UI-Redressing<br />
fallen.<br />
In diesem Vortrag wird gezeigt, welche UI-Redressing-Angriffe und<br />
Gegenmaßnahmen sich auf das Betriebssystem Android übertragen lassen.<br />
Dabei wird ein Schwerpunkt auf Clickjacking ähnliche Angriffsmethoden<br />
(Tapjacking) gelegt, die keinen Webbrowser benötigen. Ein Angreifer<br />
kann daher mit einer Applikation, die bspw. keine Rechte zum<br />
telefonieren hat, mit nur einer Touch-Geste eine beliebige und vom<br />
Angreifer definierte Telefonnummer ungewollt anrufen.<br />
<br />
<br><br />
<br />
=== ''Closing Note'': Angela Sasse — Making systems secure and usable - what can software developers do ===<br />
<br />
<br><br />
<br />
<br />
== Sprecher ==<br />
<br />
(in alphabetischer Ordnung)<br />
<br />
=== Simon Bennetts ===<br />
<br />
(a.k.a. Psiinon) has been developing web applications since<br />
1997, and strongly believes that you cannot build secure web applications<br />
without knowing how to attack them.<br />
He works for Mozilla as part of their Security Team.<br />
<br />
Some of the projects Simon works on:<br />
*OWASP Zed Attack Proxy project lead<br />
*OWASP Data Exchange Format project lead<br />
*Bodge It Store project lead<br />
*OWASP AppSensor contributor<br />
*wavsep contributor<br />
'Penetration Testing for Developers' blog author<br />
<br />
He is also one of the chapter leaders for the OWASP Manchester chapter.<br />
<br />
Simon has a B.Sc in Computing and Information Systems from Manchester<br />
University.<br />
<br />
<br><br />
<br />
=== Bastian Braun ===<br />
<br />
erhielt sein Diplom in Informatik und sein Vordiplom in<br />
Betriebswirtschaftslehre an der RWTH Aachen im Sommer 2006. Danach<br />
schloss er sich als Doktorand der Forschungsgruppe „Sicherheit in<br />
Verteilten Systemen“ an der Uni Hamburg an. 2008 folgte er seinem<br />
Doktorvater Joachim Posegga an die Uni Passau, wo er seitdem Mitglied<br />
des Instituts für IT-Sicherheit und Sicherheitsrecht ist. Zur Zeit<br />
arbeitet er an dem EU-Forschungsprojekt WebSand als Leiter des<br />
Arbeitspakets für sichere Web-Interaktion.<br />
<br />
<br><br />
<br />
=== Dr. Mario Heiderich ===<br />
<br />
arbeitet als Forscher für die Ruhr-Universität in<br />
Bochum, findet Lücken im IE und anderen Tools für Microsoft in Redmond<br />
und arbeitet im wesentlichen im Bereich HTML5- und SVG- und<br />
Browser-Sicherheit. <br />
<br />
Mario glaubt allen ernstes, man könne XSS mittels<br />
JavaScript verhindern und besiegen, schrieb darüber eine Dissertation<br />
und hat auch sonst eher wunderliche Ansichten. <br />
<br />
In der verbleibenden<br />
Zeit pen-testet und berät Mario diverse DAX-Unternehmen, spricht auf<br />
internationalen Konferenzen und hat irrationale Freude am Finden von<br />
Bugs und Designfehlern.<br />
<br />
<br><br />
<br />
=== Volkmar Lotz ===<br />
<br />
Volkmar Lotz has more than 20 years experience in industrial research on Security and Software Engineering. He is heading the Security & Trust practice of SAP Research, a group of 40+ researchers investigating into applied research and innovative security solutions for modern software platforms, networked enterprises and Future Internet applications. The Security & Trust practice defines and executes SAP's security research agenda in alignment with SAP's business strategy and global research trends. <br />
<br />
Volkmar’s current research interests include Business Process Security, Service Security, Authorisation, Security Engineering, Formal Methods and Compliance. Volkmar has published numerous scientific papers in his area of interest and is regularly serving on Programme Committees of internationally renowned conferences. He has been supervising various European projects, including large-scale integrated projects. Volkmar holds a diploma in Computer Science from the University of Kaiserslautern.<br />
<br />
<br><br />
<br />
=== Jim Manico ===<br />
<br />
is the VP of Security Architecture for WhiteHat<br />
Security. Jim is also the host of the OWASP Podcast Series, is the<br />
committee chair of the OWASP Connections Committee, is the project<br />
manager of the OWASP Cheatsheet series, and is a significant contributor<br />
to several additional OWASP projects. Jim provides secure coding and<br />
developer awareness training for WhiteHat Security using his 8+ years of<br />
experience delivering developer-training courses for SANS, Aspect<br />
Security and others. He brings 16 years of database-driven Web software<br />
development and analysis experience to WhiteHat and OWASP as well. Jim<br />
works on the beautiful island of Kauai, Hawaii where he lives with his<br />
wife Tracey.<br />
<br />
<br><br />
<br />
=== Marcus Niemietz ===<br />
<br />
forscht an der Ruhr-Universität Bochum nach Methoden,<br />
um Hackern einen Schritt voraus zu sein und sowohl UI-Redressing als<br />
auch Cross-Site Scripting Angriffe zu verhindern. Er ist ein aktiver<br />
Sprecher auf zahlreichen internationalen IT-Security Konferenzen; in<br />
der Vergangenheit u. a. auf der Hackerkonferenz von Microsoft in<br />
Redmond. Darüber hinaus arbeitet er als Penetrationstester und<br />
Web-Security-Trainer. Marcus Niemietz ist ein publizierender Buchautor<br />
im Bereich der Websicherheit.<br />
<br />
<br><br />
<br />
=== Matthias Rohr ===<br />
<br />
(CISSP, CSSLP, CCSK) ist selbstständiger Berater für<br />
Anwendungssicherheit und momentan wohnhaft in London. Er befasst sich<br />
schwerpunktmäßig mit Konzeption und Management von Anwendungssicherheit<br />
in Enterprise Umgebungen sowie mit entwicklungsnahen Sicherheitsthemen.<br />
<br />
<br><br />
<br />
=== Prof. M. Angela Sasse ===<br />
is the Professor of Human-Centred Technology and Head of Information Security Research in the Department of Computer Science at University College London. Since 1996, Prof. Sasse has been researching usability issues of security systems, and published research on effectiveness and usability of authentication mechanisms, access control mechanisms, user attitudes and perceptions to computer security, and human and financial cost of security mechanisms. She chairs the Cybersecurity KTN on Human Vulnerabilities in Security Systems, and teaches a Masters-level course at UCL, Oxford University, and the Defence Academy.<br />
<br />
<br><br />
<br />
=== Dr. Sebastian Schinzel ===<br />
<br />
forscht als Postdoc an der FAU Erlangen am<br />
Lehrstuhl für IT-Sicherheitsinfrastrukturen an den Themen<br />
Penetrationstests und Softwaresicherheit. Vor seiner akademischen<br />
Laufbahn hat er mehr als 7 Jahre als Penetrationstester, Berater und<br />
Autor in der Wirtschaft gearbeitet.<br />
<br />
<br><br />
<br />
=== Florian Stahl ===<br />
<br />
ist als Senior Consultant für Information Security bei<br />
der msg systems ag in München tätig. Er ist<br />
Diplom-Wirtschaftsinformatiker, Master of Computer Science, CISSP und<br />
CCSK und treibt die Umsetzung von Informationssicherheits- und<br />
Datenschutz-Anforderungen in zahlreichen Projekten zur Entwicklung oder<br />
Prüfung von Webanwendungen voran. Herr Stahl hat langjährige<br />
internationale Erfahrung in der Beratung und Schulung zu technischen<br />
und organisatorischen Datenschutz-Themen bei DAX-Unternehmen und ist<br />
Mitglied der IAPP (International Association of Privacy Professionals).<br />
Seine aktuellen Kernthemen sind Privacy by Design und Aspekte der<br />
überarbeiteten EU-Richtlinie zum Datenschutz.<br />
<br />
<br></div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012/Programm&diff=135589German OWASP Day 2012/Programm2012-09-10T15:03:52Z<p>Ingo Hanke: </p>
<hr />
<div>__NOTOC__<br />
<br />
== Agenda / Presentations ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | '''Mittwoch, 07. November 2012''' <br />
<br> <br />
<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | <br> <br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Auditorium 1 <br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Auditorium 2<br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Auditorium 3 (Mobile Applications Track)<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' -- N.N.<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Keynote: Volkmar Lotz'''<br> ''Security-Ausbildung in einem Großunternehmen der Softwareindustrie - Erfahrungen und Herausforderungen'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30 <br />
| align="center" colspan="4" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP Introduction'''<br> ''Jim Manico, co-presented by Jerry Hoff'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:45 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | XSS von 1999 bis 2013 - Die Doctrine Classique der Websicherheit <br> ''Mario Heiderich'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Code Review: Prinzipien, Grenzen und Organisation <br> ''Bruce Sams''<br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:30 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Lost in Translation: Missverständnisse zwischen Mensch/Mensch und Mensch/Maschine und deren Auswirkungen auf Web-Security <br> ''Sebastian Schinzel'' <br> <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | On Breaking SAML: Be Whoever You Want to Be <br> ''Juraj Somorovsky und Christian Mainka''<br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:15 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | ''1000 Projekte später: Statische Codeanalyse im Großunternehmen'' <br> ''Rüdiger Bachmann und Achim D. Brucker'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | OWASP Zed Attack Proxy <br> ''Simon Bennetts'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:15 - 15:00 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Threat Modeling von Webanwendungen: Mythen und Best Practices <br> ''Matthias Rohr'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Sheet Cheats <br> ''Jim Manico'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:30 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:30 - 16:05 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Sicherheitsanforderungen: oft vernachlässigt, dabei sehr nützlich! <br> ''Sachar Paulus'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Node.js Security - Old vulnerabilities in new bottles <br> ''Sven Vetsch'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Laufzeitanalyse & Manipulation von Apple iOS Apps <br> ''Andreas Kurtz'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:05 - 16:40 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | A CAPTCHA in the Rye <br> ''Robert Rachwald'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Lightweight Integrity Protection for Web Storage-driven Content Caching <br> ''Sebastian Lekies'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | The Dark Side of Android Applications <br> ''Michael Spreitzenbarth'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:40 - 17:15 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Privacy by Design am Beispiel Facebook <br> ''Florian Stahl'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Der Weg ist das Ziel - Kontrollfluss-Integrität in Web-Applikationen sichern <br> ''Bastian Braun, Patrick Gemein and Hans Reiser'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | UI-Redressing-Angriffe auf Android <br> ''Marcus Niemietz'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 18:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Closing Note: Angela Sasse''' <br>''Making systems secure and usable - what can software developers do''<br />
|}<br />
<br />
<br> <br />
<br />
== Details zu den Vorträgen ==<br />
<br />
<br> <br />
<br />
=== ''Keynote'': Volkmar Lotz — Security-Ausbildung in einem Großunternehmen der Softwareindustrie - Erfahrungen und Herausforderungen ===<br />
<br />
<br> <br />
<br />
=== ''OWASP Introduction'': Jim Manico, co-presented by Jerry Hoff ===<br />
<br />
<br> <br />
<br />
=== Mario Heiderich: XSS von 1999 bis 2013 - Die Doctrine Classique der Websicherheit ===<br />
<br />
Cross-Site Scripting Angriffe wurden erstmals vor circa 14 Jahren<br />
dokumentiert. Seitdem hat diese Angriffstechnik eine Evolution<br />
durchzogen, die klassischen Dramentheorie ähnelt - inklusive<br />
Katastase, Heldentum und Peripetie.<br />
<br />
Nun hält HTML Einzug in die Welt der Betriebssysteme, und das Drama<br />
XSS befindet sich an der Baumgrenze zur Katastrophe - der harmlose<br />
"Alert" hat sich zum schwarzen Schwan beliebiger Code-Ausführung im<br />
Betriebssystem gewandelt.<br />
<br />
Dieser Vortrag zeigt die Evolution der Angriffstechnik XSS, untersucht<br />
unser aller Fehler in der bisherig angewandten Bekämpfung, bietet<br />
konsequente Ausblicke und schließt mit Denkanstößen für das Jahr 2013<br />
und fortfolgend.<br />
<br />
<br> <br />
<br />
=== Bruce Sams: Code Review: Prinzipien, Grenzen und Organisation ===<br />
<br />
Code Review ist ein immer beliebteres Mittel, um<br />
Schwachstellen im Code während der Entwicklung zu entdecken. Dieser<br />
Vortrag zeigt wie ein effektiver Code Review gestaltet und durchgeführt<br />
wird. Zuerst werden die Prinzipien von Code Review anhand von aktuellen<br />
Beispielen in Java/JEE erläutert: Cross-Site-Scripting, SQL-Injection,<br />
Command-Injection und die Validierung von Eingabedaten werden<br />
besprochen und Lösungen gezeigt, wie derartige Schwachstellen<br />
identifiziert werden können. Danach werden problematische Fälle wie<br />
z.B. HashMaps und dynamisch geladene Klassen untersucht. Im Allgemeinen<br />
wird das Thema Tracing über mehrere Aufrufe hinweg erklärt, und das<br />
Verhältnis False Positive zu False Negative angesprochen.<br />
<br />
Zur Verdeutlichung der Beispiele wird das Open Source Tool FindBugs<br />
verwendet. Darüber hinaus wird ein neuer Satz von über 30 Detektoren<br />
für Findbugs vorgestellt. Diese Detektoren identifizieren<br />
Schwachstellen, die standardmäßig unentdeckt bleiben.<br />
Zum Abschluss wird die Organisation eines Reviews besprochen und die<br />
Integration von Code Review in dem sicheren SDLC vorgestellt. Diese<br />
Diskussion basiert auf eingehende Erfahrung in mehreren deutschen<br />
Großunternehmen.<br />
<br />
Am Ende hat der Teilnehmer einen Überblick über die Vorteile und auch<br />
die Grenzen von Code Review und weiß, wie ein effektiver Review<br />
gestalten werden soll.<br />
<br />
<br> <br />
<br />
=== Sebastian Schinzel: Lost in Translation: Missverständnisse zwischen Mensch/Mensch und Mensch/Maschine und deren Auswirkungen auf Web-Security ===<br />
<br />
Wir schreiben das Jahr 2012 und in vielen<br />
Web-Entwicklungsprojekten wird das Thema "Sicherheit" noch immer als<br />
notwendiges Übel angesehen. Gerade erfahrene Entwickler sind oft zu<br />
sehr überzeugt von ihrer eigenen Codequalität, als dass sie offen für<br />
Feedback und konstruktive Kritik sind. Wenn es hart-auf-hart kommt, und<br />
Sie sich als Sicherheitsexperte gegen solche Entwickler behaupten<br />
wollen, dann benötigen Sie gute Argumente.<br />
<br />
In diesem interaktiven Vortrag stelle ich einige scheinbar trivial<br />
verständliche Quellcodebeispiele vor, die selbst von erfahrenen<br />
Programmierern (und wahrscheinlich auch vom OWASP Publikum) falsch<br />
verstanden werden. Weiterhin untersuche ich einige öffentlich gewordene<br />
Backdoors, die von Angreifern in den Quellcode der Web-Anwendungen<br />
eingeschleust wurden. Aus den Beispielen wird klar, dass viele<br />
Backdoors auf den ersten Blick (und auch auf den zweiten) harmlos<br />
aussehen, und die Schadroutine nur bei sehr genauem Hinsehen klar wird.<br />
<br />
Die vorgestellten Beispiele verwende ich regelmäßig in Workshops, um<br />
übermäßig selbstbewussten Web-Entwicklern zu veranschaulichen, dass<br />
auch sie in ihrem Verständnis von Quellcode nicht unfehlbar sind. Das<br />
ist eine wichtige Erkenntnis, um einzusehen, dass niemand vor<br />
Sicherheitsschwachstellen gefeit ist und dass selbst erfahrene<br />
Web-Entwickler regelmäßig in sicherer Softwareentwicklung geschult<br />
werden müssen.<br />
<br />
<br> <br />
<br />
=== Juraj Somorovsky and Christian Mainka: On Breaking SAML - Be Whoever You Want to Be ===<br />
<br />
The Security Assertion Markup Language (SAML) is a widely<br />
adopted language for making security statements about subjects. It is a<br />
critical component for the development of federated identity<br />
deployments and Single Sign- On scenarios. In order to protect<br />
integrity and authenticity of the exchanged SAML assertions, the XML<br />
Signature standard is applied. However, the signature verification<br />
algorithm is much more complex than in traditional signature formats<br />
like PKCS#7. The integrity protection can thus be successfully<br />
circumvented by application of different XML Signature specific<br />
attacks, under a weak adversarial model.<br />
<br />
In this talk we describe an in-depth analysis of 14 major SAML<br />
frameworks and show that 11 of them, including Salesforce, Shibboleth,<br />
and IBM XS40, have critical XML Signature wrapping vulnerabilities. We<br />
present efficient and practical countermeasures to thwart these<br />
attacks. Moreover, based on our analysis, we developed an automated<br />
penetration testing tool for XML Signature Wrapping called WS-Attacker.<br />
We discuss its main features and its application to SAML-based<br />
frameworks.<br />
<br />
<br> <br />
<br />
=== Rüdiger Bachmann and Achim D. Brucker: 1000 Projekte später: Statische Codeanalyse im Großunternehmen ===<br />
<br />
Statische Code Analyse (SCA) spielt im<br />
Softwareentwicklungsprozess (SDLC) eine wichtige Rolle um mögliche<br />
Sicherheitsschwachstellen bereits zur Entwicklungszeit zu finden und zu<br />
beheben.<br />
Die großflächige Einführung statischer Code Analyse bei einem großen<br />
Softwarehersteller stellt eine große Herausforderung dar. Neben den<br />
technischen Schwierigkeiten durch die schiere Anzahl und Größe der<br />
Softwareprojekte oder der Vielzahl unterschiedlicher<br />
Programmiersprachen (ABAP, C, Objective-C, JavaScript, ...), ergeben<br />
sich auch nicht-technische Probleme wie die Schaffung des notwendigen<br />
Problembewusstseins, Schulung der Mitarbeiter im Umgang der verwendeten<br />
Tools, Einbindung der Analyse in vorhandene Entwicklungs- und<br />
Wartungsprozesse.<br />
In diesem Vortrag berichten wir von unseren Erfahrungen in der<br />
großflächigen Einführung von statischer Code Analyse innerhalb der SAP<br />
AG.<br />
<br />
<br> <br />
<br />
=== Simon Bennetts: OWASP Zed Attack Proxy ===<br />
<br />
The OWASP Zed Attack Proxy (ZAP) is an easy to use integrated<br />
penetration testing tool for finding vulnerabilities in web<br />
applications.<br />
<br />
It is community project, being maintained by a worldwide group of<br />
volunteers and is completely free, open source and cross platform.<br />
Since its release in 2010 ZAP has gone from strength to strength and is<br />
now a flagship OWASP project.<br />
Simon (the ZAP project lead) will :<br />
<br />
* Introduce ZAP to those who have not encountered it before<br />
* Detail the new features in the most recent releases<br />
* Explain the 3 ZAP related Google Summer of Code projects<br />
* Talk about the future plans<br />
<br />
<br> <br />
<br />
=== Matthias Rohr: Threat Modeling von Webanwendungen: Mythen and Best Practices ===<br />
<br />
Mittels einer Bedrohungsmodellierung (engl. Threat Modelling)<br />
lassen sich Risiken, wie etwa potentielle Schwachstellen, bereits<br />
frühzeitig im Rahmen der Entwicklung einer Webanwendung identifizieren<br />
und mit entsprechenden Maßnahmen entgegenwirken. Auch können<br />
Penetrationstests und andere Testmethoden auf Basis eines bestehenden<br />
Bedrohungsmodells in der Regel deutlich effektiver geplant und<br />
durchgeführt werden.<br />
<br />
In der Praxis ist die konkrete Durchführung allerdings häufig mit<br />
zahlreichen Schwierigkeiten verbunden. So existieren zwar einige<br />
konkrete Vorgehensweisen (z.B. Microsoft, PASTA, T-MAP, TRIKE sowie<br />
gleich mehrere auf der OWASP-Webseite selbst), doch verfolgen diese<br />
teilweise recht unterschiedliche Ansätze und eignen sich gewöhnlich<br />
auch nur für bestimmte Anwendungsszenarios und Zielgruppen. Auch<br />
deshalb ist die Verwirrung beim Thema Bedrohungsmodellierung häufig<br />
recht groß.<br />
<br />
Im Rahmen dieses Vortrages, der auf mehrjährigen Erfahrungen mit der<br />
der Erstellung von Bedrohungsmodellen von Webanwendungen basiert,<br />
werden zahlreiche geläufige Mythen aufgeklärt und entsprechende Best<br />
Practices erläutert. Weiterhin wird eine praxisbezogene Vorgehensweise<br />
vorgestellt, mit der sich die Durchführung von Bedrohungsmodellierungen<br />
leicht skalieren, in unterschiedlichen Szenarien einbinden und effektiv<br />
in bestehende Entwicklungsprozesse integrieren lässt.<br />
<br />
<br> <br />
<br />
=== Jim Manico: Sheet Cheats ===<br />
<br />
We cannot hack or firewall our way secure. Application programmers need<br />
to learn to code in a secure fashion if we have any chance of providing<br />
organizations with proper defenses in the current threatscape. This talk<br />
will discuss the 10 most important security-centric computer programming<br />
techniques necessary to build low-risk web-based applications. This talk<br />
is best suited for technical web application development professionals<br />
at any stage of the software development lifecycle.<br />
<br />
<br> <br />
<br />
=== Sachar Paulus: Sicherheitsanforderungen: oft vernachlässigt, dabei sehr nützlich! ===<br />
<br />
Die Formulierung von Sicherheitsanforderungen findet in<br />
vielen Projekten so gut wie nie statt - doch wie soll eine Software<br />
"sicher" sein, wenn noch nicht einmal klar ist, was "sicher" bedeuten<br />
soll.<br />
<br />
Dieser Vortrag gibt einen Überblick wie Kunden und Nutzer von Software<br />
und Software-Entwicklungsprojekten durch recht schlanke Prozesse zur<br />
Erstellung von Sicherheitsanforderungen die Sicherheit der verwendeten<br />
Applikationen deutlich verbessern können.<br />
<br />
Für das Testen auf Sicherheit, also die Untersuchung von Software auf<br />
Schwachstellen werden meist Prüfkataloge und Best Practices<br />
herangezogen, die die Erfahrungen und das Know-How der testenden<br />
Organisation widerspiegeln, und leider nicht die Aspekte, die ein<br />
gezielter Angriff mit entsprechender Vorab-Analyse ausnutzen würde. Das<br />
ist in etwa vergleichbar mit dem Bild, bei dem ein betrunkener Mann<br />
seinen verlorenen Hausschlüssel im Lichtkreis einer Laterne sucht - und<br />
nicht da, wo er ihn verloren hat, mit der Begründung: im Licht sehe er<br />
wenigstens etwas…<br />
<br />
Die Lösung dieser Problematik besteht darin, dass man das, was getestet<br />
(und natürlich vorher entwickelt) werden soll, überhaupt erst einmal<br />
erfasst und beschreibt. So wie es für funktionale Anforderungen seit<br />
Jahren üblich ist, so müssen auch nicht-funktionale Anforderungen, hier<br />
speziell Sicherheitsanforderungen, auch aufgenommen und dokumentiert<br />
werden.<br />
<br />
Für die Ermittlung von Sicherheitsanforderungen kann sehr gut eine<br />
vereinfachte Variante der Bedrohungsmodellierung herhalten. Um das<br />
Testen einfacher zu machen, können für nicht-funktionale Anforderungen<br />
Akzeptanzkritrien formuliert werden. Dies sind nur zwei einfache<br />
Werkzeuge, diese werden im Vortrag ausführlicher dargestellt.<br />
<br />
<br> <br />
<br />
=== Sven Vetsch: Node.js Security - Old vulnerabilities in new bottles ===<br />
<br />
New technologies are a good thing as they drive innovation.<br />
Especially in the web world, innovation is what lead to todays<br />
popularity of sites like Google, Twitter and Facebook. Regarding<br />
security, new technologies also come with the possibility to avoid<br />
known security issues already in the design of a technology or for<br />
example a new programming language. Unfortunately most of the time,<br />
security is not a main focus and therefor also known faults are done<br />
over and over again. In addition to this, new technologies also tend to<br />
invent new vulnerability classes or at least open new ways to exploit<br />
known security issues.<br />
<br />
In this talk I'll take as a practical example the Node (Node.js)<br />
project which allows server side non-blocking JavaScript development.<br />
It's great to have the same language for the frontend as for the<br />
backend as it makes things much easier to connect and also the frontend<br />
and backend developers can better understand each others work. Many<br />
people still think about JavaScript as static *.js files somewhere in a<br />
web accessible directory which is not security relevant as it's static.<br />
This is simply not the case. In the past there where already a lot of<br />
reported security problems related to JavaScript so the question is:<br />
Will those problems also affect Node? I will answer this and more<br />
questions during the talk but be assured, we'll end up with a reverse<br />
shell ;)<br />
<br />
<br> <br />
<br />
=== Andreas Kurtz: Laufzeitanalyse & Manipulation von Apple iOS Apps ===<br />
<br />
Mit der Veröffentlichung des Software Development Kits für<br />
die Apple iOS Plattform im Jahr 2008, wurde es erstmals offiziell<br />
möglich, Apples mobile Geräte um eigenentwickelte Applikationen (Apps)<br />
zu erweitern. Seit dieser Zeit wurden in Apples App Store mehr als<br />
650.000 Apps bereitgestellt und diese über 30 Milliarden Mal<br />
heruntergeladen (Stand: Juni 2012).<br />
<br />
iOS Apps werden dabei primär in Objective-C entwickelt. Objective-C ist<br />
eine objektorientierte Erweiterung und strikte Obermenge der<br />
Programmiersprache C, deren Syntax und Konzeption stark an Smalltalk<br />
angelehnt ist. Ähnlich wie viele andere moderne Programmiersprachen,<br />
bietet auch die Objective-C Laufzeitumgebung eine umfangreiche<br />
Reflection-API. Diese ermöglicht den Zugriff sowie die Manipulation von<br />
Klassen und Methoden zur Laufzeit. Dadurch können interne App-Zustände<br />
und Abläufe zur Laufzeit beliebig manipuliert werden.<br />
<br />
Im Rahmen des Vortrags werden zunächst die Hintergründe und<br />
erforderlichen Techniken zur Laufzeitmanipulation von iOS Apps<br />
erläutert: Durch das Einbringen von Bibliotheken in den Prozess einer<br />
laufenden App wird diese nachträglich um Debugging-Funktionalitäten<br />
erweitert. Anschließend können darüber interne Abläufe untersucht und<br />
verändert, vorhandene Methoden beliebig ausgeführt oder deren<br />
Implementierung überschrieben werden. Anhand einiger Praxisbeispiele<br />
wird demonstriert, wie die Laufzeitmanipulation das Reverse Engineering<br />
von Apps erleichtern kann und welche neuen Bedrohungen daraus für<br />
mobile Apps resultieren.<br />
<br />
<br> <br />
<br />
=== Robert Rachwald: A CAPTCHA in the Rye ===<br />
<br />
A CAPTCHA, or Completely Automated Public Turing test to tell<br />
Computers and Humans Apart, is a common security measures used to distinguish between humans<br />
and a "phony". Ideally, a CAPTCHA should distinguish human users from<br />
automated browsing applications, preventing automated tools from abusing online services.<br />
Hackers have deployed numerous methods to bypass CAPTCHAs, such as outsourcing<br />
readers to India or creating CAPTCHA games that reward users with<br />
pornographic images. <br />
<br />
The line between real and phony isn’t clear, forcing security professionals<br />
to present CAPTCHAs sub optimally.<br />
This talk will present several innovative CAPTCHA methods have appeared<br />
recently and review the use of CAPTCHAs as a security mechanism against<br />
malicious automation. We report and analyze four case studies and<br />
provide recommendations on ways to implement CAPTCHAs as an integrated<br />
part of a security strategy. Specifically, security teams should:<br />
<br />
* Use novel CAPTCHA methods that make the CAPTCHA into something<br />
enjoyable, like a mini-game.<br />
* Minimize the number of CAPTCHA challenges that legitimate users<br />
encounter. <br />
<br />
The idea is to present a CAPTCHA only when users exhibit<br />
suspicious behavior. To detect such, the site should use the other<br />
automation detection mechanisms.<br />
<br />
<br> <br />
<br />
=== Sebastian Lekies: Lightweight Integrity Protection for Web Storage-driven Content Caching ===<br />
<br />
The term Web storage summarizes a set of browser- based technologies<br />
that allow application-level persistent storage of key/values pairs on<br />
the client-side. These capabilities are frequently used for caching of<br />
markup or script code fragments, e.g., in scenarios with specific<br />
bandwidth or responsiveness requirements. <br />
<br />
Unfortunately, this practice<br />
is inherently insecure, as it may allow attackers to inject malicious<br />
JavaScript payloads into the browser’s Web storage. Such payloads<br />
reside in the victim’s browser for a potentially prolonged period and<br />
lead to resident compromise of the application’s client-side code.<br />
<br />
In this paper, we first present three possible attack scenarios that<br />
showcase how an attacker is able to inject code into web storage. Then<br />
we verify that Web storage is indeed used in the outlined, insecure<br />
fashion, via a large-scale study of the top 500.000 Alexa domains.<br />
Furthermore, we propose a lightweight integrity protecting mechanism<br />
that allows developers to store markup and code fragments in Web<br />
storage without risking a potential compromise. Our protection approach<br />
can be introduced without requiring browser modifications and<br />
introduces only negligible performance overhead.<br />
<br />
<br> <br />
<br />
=== Michael Spreitzenbarth: The Dark Side of Android Applications ===<br />
<br />
It is now well-known that, for various reasons, Android has<br />
become the leading OS for smartphones with more than 50% of worldwide<br />
market share within only a few years. This fast growth rate also has an<br />
evil side. Android brought backdoors and trojans to the yet spared<br />
Linux world with growth rates of over 3,000% in the last half of 2011<br />
and about 15,000 newly discovered malicious applications in the second<br />
quarter of 2012.<br />
<br />
These malicious apps are only seldomly obfuscated and very basic in<br />
their functionality. In this presentation, we will give a short<br />
overview of the existing malware families and their main<br />
functionalities. As an example, we will present the results of reverse<br />
engineering a paradigmatic malware sample of the FakeRegSMS family.<br />
This sample was chosen because it tries to implement the first very<br />
simple approaches of obfuscation and behavior hiding.<br />
<br />
Afterwards, we will show how actual malware detection systems are<br />
working. In this step we will concentrate on, often self-written,<br />
static detection modules. The detection mainly relais on the<br />
combination of permissions, receivers and API calls. Some of these<br />
systems also try to detect if an application is under- or<br />
over-privileged by comparing the API calls and the requested<br />
permissions. The well known systems (MobileSandbox and Andrubis) use a<br />
dynamic analysis with TaintDroid/DroidBox as an additional step. These<br />
systems perform taint-analysis and monitor sensitive data throughout<br />
the complete data-flow of the application. With this functionality it<br />
is possible to detect which sensitive data is leaving the device. With<br />
the knowledge we gained in this step, we will then discuss why<br />
developers should take care of permissions and ad-networks they use<br />
within their applications.<br />
<br />
Especially ad-networks are a reason why benign apps are detected as<br />
malicious with an increasing frequency. This happens because this<br />
networks often send sensitive user data like unique identifiers (IMEI,<br />
IMSI, etc.) and sometimes even stored contact and calendar entries over<br />
the Internet. One of the most aggressive ad-networks is mobclix, which<br />
tries to get access to stored account data, location of the user and<br />
even tries to get write access to contacts and calendar. The well known<br />
ad-library mOcean is even able to send SMS messages and start phone<br />
calls without user interaction and notice.<br />
<br />
We conclude with discussing the following questions: How do you get<br />
infected? What was the main goal of malware authors in recent malicious<br />
applications? And finally, how does the future of malware look like?<br />
<br />
<br> <br />
<br />
=== Florian Stahl: Privacy by Design am Beispiel Facebook ===<br />
<br />
Der Vorschlag für die Überarbeitung der Anfang des Jahres publizierten<br />
europäischen Datenschutzrichtlinie sieht vor das Konzept „Privacy by<br />
Design“ (PbD) verpflichtend zu machen. Dies wird auch bei der<br />
Entwicklung von Webanwendungen zu neuen Anforderungen führen, wenn<br />
diese personenbezogene Daten verarbeiten. Bisher wird Privacy by Design<br />
selten konsequent berücksichtigt, da Datenschutz kaum als explizite<br />
Anforderung im Pflichtenheft auftaucht und vielen Projektleitern und<br />
Softwareentwicklern die Kenntnisse in dem Bereich fehlen. Deshalb<br />
werden in<br />
diesem Vortrag die zukünftig erforderlichen Grundlagen von Privacy by<br />
Design erläutert und Beispiele geliefert, die sich bei der Entwicklung<br />
von Webapplikationen in der Praxis bewährt haben. Dabei werden auch die<br />
sieben Prinzipien von Privacy by Design nach Ann Cavoukian (kanadische<br />
Mitgründerin des Konzepts) vorgestellt. <br />
<br />
Neben dem<br />
datenschutzfreundlichen Design von Produkten<br />
bzw. Applikationen z.B. durch Anonymisierung, Verschlüsselung und<br />
Datensparsamkeit gelten u.A.Transparenz, Datenschutz als<br />
Standard-Einstellung (Default) und der Schutz von Daten im kompletten<br />
Lebenszyklus als zentrale Aspekte von Privacy by Design. Die Vorgaben<br />
gelten aber nicht nur für die Applikation selbst, sondern auch für die<br />
Prozesse rund um die Entwicklung und den Transfer von Daten z.B.<br />
während der Migration. <br />
<br />
Für existierende Webanwendungen sollte nach der<br />
für 2014 geplanten Einführung der neuen Richtlinie ein "Privacy by<br />
Redesign" in Erwägung gezogen werden, um fehlende Datenschutz-Maßnahmen<br />
nachträglich zu implementieren. Ein derartiges Vorgehen wird im Vortrag<br />
am Beispiel des sozialen Netzwerks Facebook vorgestellt, das in der<br />
Vergangenheit durch seinen umstrittenen Umgang mit den Daten seiner<br />
Nutzer aufgefallen ist. Es wird untersucht, ob und wie man das soziale<br />
Netzwerk konform zum Konzept Privacy by Design machen könnte, denn die<br />
neuen europäischen Datenschutzvorgaben sollen auch für<br />
nicht-europäische Unternehmen gelten, wenn sie Daten von EU-Bürgern<br />
speichern oder verarbeiten.<br />
<br />
<br> <br />
<br />
=== Bastian Braun, Patrick Gemein and Hans Reiser: Der Weg ist das Ziel - Kontrollfluss-Integrität in Web-Applikationen sichern ===<br />
<br />
Moderne Web-Applikationen implementieren häufig komplexe<br />
Kontrollflüsse, die erfordern, dass die Benutzer ihre Aktionen in einer<br />
bestimmten Reihenfolge ausführen. Die Benutzer interagieren mit<br />
Web-Applikationen durch das Senden von HTTP-Anfragen (requests) mit<br />
Parametern und den Empfang von Antworten (responses), die Verweise<br />
(hyperlinks) enthalten und dadurch die nächsten Schritte bestimmen.<br />
Falls eine Web-Applikation darauf vertraut, dass Benutzer nur den in<br />
ihre Webseiten eingebundenen Verweisen folgen, können bösartige<br />
Benutzer Anfragen generieren, die auf Seiten des Betreibers der<br />
Web-Applikation Schaden anrichten.<br />
<br />
Analysen von Angriffen mit Benutzer-generierten Anfragen auf<br />
Web-Applikationen zeigen, dass die Ursache in der fehlenden<br />
Kontrollfluss-Definition und –Durchsetzung auf Serverseite zu finden<br />
ist. Unter anderem hat sich herausgestellt, dass die verwendeten<br />
Parameter ein wichtiger Aspekt der Wirkung von Anfragen sind. Darauf<br />
aufbauend haben wir einen Kontrollfluss-Monitor entwickelt, der sowohl<br />
bei existierenden als auch bei neu zu entwickelnden Web-Applikationen<br />
angewendet werden kann. Er wird über eine Kontrollfluss-Definition<br />
konfiguriert und garantiert der geschützten Web-Applikation, dass<br />
ausschließlich die definierten Anfrage-Sequenzen und erwartete<br />
Parameter von der Web-Applikation verarbeitet werden müssen. <br />
<br />
Der<br />
implementierte Kontrollfluss-Monitor verhindert Race Conditions, eine<br />
besondere Form von Angriffen auf die Kontrollfluss-Integrität von<br />
Web-Applikationen. Darüber hinaus unterstützt er aktuelle<br />
Browser-Features wie Multitabbing und die Verwendung des<br />
"Zurück"-Knopfes. Die Evaluierung ergab, dass der Kontrollfluss-Monitor<br />
einen erträglichen Overhead verursacht.<br />
<br />
<br> <br />
<br />
=== Marcus Niemietz: UI-Redressing-Angriffe auf Android ===<br />
<br />
Bereits im Jahr 2002 war der Security-Community intuitiv klar, dass<br />
transparente Elemente innerhalb eines Webbrowsers eine Gefahr für den<br />
Benutzer darstellen. Dies resultierte unmittelbar aus der Überlegung,<br />
dass ein Opfer auf ein Element wie eine Schaltfläche klicken kann, ohne<br />
zu sehen das ein Klick auf diese Schaltfläche erfolgt. Das daraus<br />
abgeleitete Verfahren wurde im Jahr 2008 neu aufgegriffen und mit dem<br />
Begriff Clickjacking bezeichnet. Dabei hatte ein Angreifer die<br />
Möglichkeit einen automatischen Zugriff auf die Kamera sowie das<br />
Mikrofon eines Opfers (ohne dessen Wissen) zu erhalten. Seit dem Jahr<br />
2008 hat sich eine Vielfalt von auf Clickjacking basierenden Angriffen<br />
gebildet, die heutzutage unter der Angriffsmenge des UI-Redressing<br />
fallen.<br />
In diesem Vortrag wird gezeigt, welche UI-Redressing-Angriffe und<br />
Gegenmaßnahmen sich auf das Betriebssystem Android übertragen lassen.<br />
Dabei wird ein Schwerpunkt auf Clickjacking ähnliche Angriffsmethoden<br />
(Tapjacking) gelegt, die keinen Webbrowser benötigen. Ein Angreifer<br />
kann daher mit einer Applikation, die bspw. keine Rechte zum<br />
telefonieren hat, mit nur einer Touch-Geste eine beliebige und vom<br />
Angreifer definierte Telefonnummer ungewollt anrufen.<br />
<br />
<br><br />
<br />
=== ''Closing Note'': Angela Sasse — Making systems secure and usable - what can software developers do ===<br />
<br />
<br><br />
<br />
<br />
== Sprecher ==<br />
<br />
(in alphabetischer Ordnung)<br />
<br />
=== Simon Bennetts ===<br />
<br />
(a.k.a. Psiinon) has been developing web applications since<br />
1997, and strongly believes that you cannot build secure web applications<br />
without knowing how to attack them.<br />
He works for Mozilla as part of their Security Team.<br />
<br />
Some of the projects Simon works on:<br />
*OWASP Zed Attack Proxy project lead<br />
*OWASP Data Exchange Format project lead<br />
*Bodge It Store project lead<br />
*OWASP AppSensor contributor<br />
*wavsep contributor<br />
'Penetration Testing for Developers' blog author<br />
<br />
He is also one of the chapter leaders for the OWASP Manchester chapter.<br />
<br />
Simon has a B.Sc in Computing and Information Systems from Manchester<br />
University.<br />
<br />
<br><br />
<br />
=== Bastian Braun ===<br />
<br />
erhielt sein Diplom in Informatik und sein Vordiplom in<br />
Betriebswirtschaftslehre an der RWTH Aachen im Sommer 2006. Danach<br />
schloss er sich als Doktorand der Forschungsgruppe „Sicherheit in<br />
Verteilten Systemen“ an der Uni Hamburg an. 2008 folgte er seinem<br />
Doktorvater Joachim Posegga an die Uni Passau, wo er seitdem Mitglied<br />
des Instituts für IT-Sicherheit und Sicherheitsrecht ist. Zur Zeit<br />
arbeitet er an dem EU-Forschungsprojekt WebSand als Leiter des<br />
Arbeitspakets für sichere Web-Interaktion.<br />
<br />
<br><br />
<br />
=== Dr. Mario Heiderich ===<br />
<br />
arbeitet als Forscher für die Ruhr-Universität in<br />
Bochum, findet Lücken im IE und anderen Tools für Microsoft in Redmond<br />
und arbeitet im wesentlichen im Bereich HTML5- und SVG- und<br />
Browser-Sicherheit. <br />
<br />
Mario glaubt allen ernstes, man könne XSS mittels<br />
JavaScript verhindern und besiegen, schrieb darüber eine Dissertation<br />
und hat auch sonst eher wunderliche Ansichten. <br />
<br />
In der verbleibenden<br />
Zeit pen-testet und berät Mario diverse DAX-Unternehmen, spricht auf<br />
internationalen Konferenzen und hat irrationale Freude am Finden von<br />
Bugs und Designfehlern.<br />
<br />
<br><br />
<br />
=== Volkmar Lotz ===<br />
<br />
Volkmar Lotz has more than 20 years experience in industrial research on Security and Software Engineering. He is heading the Security & Trust practice of SAP Research, a group of 40+ researchers investigating into applied research and innovative security solutions for modern software platforms, networked enterprises and Future Internet applications. The Security & Trust practice defines and executes SAP's security research agenda in alignment with SAP's business strategy and global research trends. <br />
<br />
Volkmar’s current research interests include Business Process Security, Service Security, Authorisation, Security Engineering, Formal Methods and Compliance. Volkmar has published numerous scientific papers in his area of interest and is regularly serving on Programme Committees of internationally renowned conferences. He has been supervising various European projects, including large-scale integrated projects. Volkmar holds a diploma in Computer Science from the University of Kaiserslautern.<br />
<br />
<br><br />
<br />
=== Jim Manico ===<br />
<br />
is the VP of Security Architecture for WhiteHat<br />
Security. Jim is also the host of the OWASP Podcast Series, is the<br />
committee chair of the OWASP Connections Committee, is the project<br />
manager of the OWASP Cheatsheet series, and is a significant contributor<br />
to several additional OWASP projects. Jim provides secure coding and<br />
developer awareness training for WhiteHat Security using his 8+ years of<br />
experience delivering developer-training courses for SANS, Aspect<br />
Security and others. He brings 16 years of database-driven Web software<br />
development and analysis experience to WhiteHat and OWASP as well. Jim<br />
works on the beautiful island of Kauai, Hawaii where he lives with his<br />
wife Tracey.<br />
<br />
<br><br />
<br />
=== Marcus Niemietz ===<br />
<br />
forscht an der Ruhr-Universität Bochum nach Methoden,<br />
um Hackern einen Schritt voraus zu sein und sowohl UI-Redressing als<br />
auch Cross-Site Scripting Angriffe zu verhindern. Er ist ein aktiver<br />
Sprecher auf zahlreichen internationalen IT-Security Konferenzen; in<br />
der Vergangenheit u. a. auf der Hackerkonferenz von Microsoft in<br />
Redmond. Darüber hinaus arbeitet er als Penetrationstester und<br />
Web-Security-Trainer. Marcus Niemietz ist ein publizierender Buchautor<br />
im Bereich der Websicherheit.<br />
<br />
<br><br />
<br />
=== Matthias Rohr ===<br />
<br />
(CISSP, CSSLP, CCSK) ist selbstständiger Berater für<br />
Anwendungssicherheit und momentan wohnhaft in London. Er befasst sich<br />
schwerpunktmäßig mit Konzeption und Management von Anwendungssicherheit<br />
in Enterprise Umgebungen sowie mit entwicklungsnahen Sicherheitsthemen.<br />
<br />
<br><br />
<br />
=== Prof. M. Angela Sasse ===<br />
is the Professor of Human-Centred Technology and Head of Information Security Research in the Department of Computer Science at University College London. Since 1996, Prof. Sasse has been researching usability issues of security systems, and published research on effectiveness and usability of authentication mechanisms, access control mechanisms, user attitudes and perceptions to computer security, and human and financial cost of security mechanisms. She chairs the Cybersecurity KTN on Human Vulnerabilities in Security Systems, and teaches a Masters-level course at UCL, Oxford University, and the Defence Academy.<br />
<br />
<br><br />
<br />
=== Dr. Sebastian Schinzel ===<br />
<br />
forscht als Postdoc an der FAU Erlangen am<br />
Lehrstuhl für IT-Sicherheitsinfrastrukturen an den Themen<br />
Penetrationstests und Softwaresicherheit. Vor seiner akademischen<br />
Laufbahn hat er mehr als 7 Jahre als Penetrationstester, Berater und<br />
Autor in der Wirtschaft gearbeitet.<br />
<br />
<br><br />
<br />
=== Florian Stahl ===<br />
<br />
ist als Senior Consultant für Information Security bei<br />
der msg systems ag in München tätig. Er ist<br />
Diplom-Wirtschaftsinformatiker, Master of Computer Science, CISSP und<br />
CCSK und treibt die Umsetzung von Informationssicherheits- und<br />
Datenschutz-Anforderungen in zahlreichen Projekten zur Entwicklung oder<br />
Prüfung von Webanwendungen voran. Herr Stahl hat langjährige<br />
internationale Erfahrung in der Beratung und Schulung zu technischen<br />
und organisatorischen Datenschutz-Themen bei DAX-Unternehmen und ist<br />
Mitglied der IAPP (International Association of Privacy Professionals).<br />
Seine aktuellen Kernthemen sind Privacy by Design und Aspekte der<br />
überarbeiteten EU-Richtlinie zum Datenschutz.<br />
<br />
<br></div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012/Programm&diff=135578German OWASP Day 2012/Programm2012-09-10T14:06:27Z<p>Ingo Hanke: </p>
<hr />
<div>__NOTOC__<br />
<br />
== Agenda / Presentations ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | '''Mittwoch, 07. November 2012''' <br />
<br> <br />
<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | <br> <br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Auditorium 1 <br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Auditorium 2<br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Auditorium 3 (Mobile Applications Track)<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' -- N.N.<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Keynote: Volkmar Lotz'''<br> ''Security-Ausbildung in einem Großunternehmen der Softwareindustrie - Erfahrungen und Herausforderungen'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30 <br />
| align="center" colspan="4" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP Introduction'''<br> ''Jim Manico, co-presented by Jerry Hoff'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:45 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | XSS von 1999 bis 2013 - Die Doctrine Classique der Websicherheit <br> ''Mario Heiderich'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Code Review: Prinzipien, Grenzen und Organisation <br> ''Bruce Sams''<br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:30 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Lost in Translation: Missverständnisse zwischen Mensch/Mensch und Mensch/Maschine und deren Auswirkungen auf Web-Security <br> ''Sebastian Schinzel'' <br> <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | On Breaking SAML: Be Whoever You Want to Be <br> ''Juraj Somorovsky und Christian Mainka''<br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:15 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | ''1000 Projekte später: Statische Codeanalyse im Großunternehmen'' <br> ''Rüdiger Bachmann und Achim D. Brucker'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | OWASP Zed Attack Proxy <br> ''Simon Bennetts'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:15 - 15:00 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Threat Modeling von Webanwendungen: Mythen und Best Practices <br> ''Matthias Rohr'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Sheet Cheats <br> ''Jim Manico'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:30 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:30 - 16:05 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Sicherheitsanforderungen: oft vernachlässigt, dabei sehr nützlich! <br> ''Sachar Paulus'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Node.js Security - Old vulnerabilities in new bottles <br> ''Sven Vetsch'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Laufzeitanalyse & Manipulation von Apple iOS Apps <br> ''Andreas Kurtz'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:05 - 16:40 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | A CAPTCHA in the Rye <br> ''Robert Rachwald'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Lightweight Integrity Protection for Web Storage-driven Content Caching <br> ''Sebastian Lekies'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | The Dark Side of Android Applications <br> ''Michael Spreitzenbarth'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:40 - 17:15 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Privacy by Design am Beispiel Facebook <br> ''Florian Stahl'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Der Weg ist das Ziel - Kontrollfluss-Integrität in Web-Applikationen sichern <br> ''Bastian Braun, Patrick Gemein and Hans Reiser'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | UI-Redressing-Angriffe auf Android <br> ''Marcus Niemietz'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 18:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Closing Note: Angela Sasse''' <br>''Making systems secure and usable - what can software developers do''<br />
|}<br />
<br />
<br> <br />
<br />
== Details zu den Vorträgen ==<br />
<br />
<br> <br />
<br />
=== ''Keynote'': Volkmar Lotz — Security-Ausbildung in einem Großunternehmen der Softwareindustrie - Erfahrungen und Herausforderungen ===<br />
<br />
<br> <br />
<br />
=== ''OWASP Introduction'': Jim Manico, co-presented by Jerry Hoff ===<br />
<br />
<br> <br />
<br />
=== Mario Heiderich: XSS von 1999 bis 2013 - Die Doctrine Classique der Websicherheit ===<br />
<br />
Cross-Site Scripting Angriffe wurden erstmals vor circa 14 Jahren<br />
dokumentiert. Seitdem hat diese Angriffstechnik eine Evolution<br />
durchzogen, die klassischen Dramentheorie ähnelt - inklusive<br />
Katastase, Heldentum und Peripetie.<br />
<br />
Nun hält HTML Einzug in die Welt der Betriebssysteme, und das Drama<br />
XSS befindet sich an der Baumgrenze zur Katastrophe - der harmlose<br />
"Alert" hat sich zum schwarzen Schwan beliebiger Code-Ausführung im<br />
Betriebssystem gewandelt.<br />
<br />
Dieser Vortrag zeigt die Evolution der Angriffstechnik XSS, untersucht<br />
unser aller Fehler in der bisherig angewandten Bekämpfung, bietet<br />
konsequente Ausblicke und schließt mit Denkanstößen für das Jahr 2013<br />
und fortfolgend.<br />
<br />
<br> <br />
<br />
=== Bruce Sams: Code Review: Prinzipien, Grenzen und Organisation ===<br />
<br />
Code Review ist ein immer beliebteres Mittel, um<br />
Schwachstellen im Code während der Entwicklung zu entdecken. Dieser<br />
Vortrag zeigt wie ein effektiver Code Review gestaltet und durchgeführt<br />
wird. Zuerst werden die Prinzipien von Code Review anhand von aktuellen<br />
Beispielen in Java/JEE erläutert: Cross-Site-Scripting, SQL-Injection,<br />
Command-Injection und die Validierung von Eingabedaten werden<br />
besprochen und Lösungen gezeigt, wie derartige Schwachstellen<br />
identifiziert werden können. Danach werden problematische Fälle wie<br />
z.B. HashMaps und dynamisch geladene Klassen untersucht. Im Allgemeinen<br />
wird das Thema Tracing über mehrere Aufrufe hinweg erklärt, und das<br />
Verhältnis False Positive zu False Negative angesprochen.<br />
<br />
Zur Verdeutlichung der Beispiele wird das Open Source Tool FindBugs<br />
verwendet. Darüber hinaus wird ein neuer Satz von über 30 Detektoren<br />
für Findbugs vorgestellt. Diese Detektoren identifizieren<br />
Schwachstellen, die standardmäßig unentdeckt bleiben.<br />
Zum Abschluss wird die Organisation eines Reviews besprochen und die<br />
Integration von Code Review in dem sicheren SDLC vorgestellt. Diese<br />
Diskussion basiert auf eingehende Erfahrung in mehreren deutschen<br />
Großunternehmen.<br />
<br />
Am Ende hat der Teilnehmer einen Überblick über die Vorteile und auch<br />
die Grenzen von Code Review und weiß, wie ein effektiver Review<br />
gestalten werden soll.<br />
<br />
<br> <br />
<br />
=== Sebastian Schinzel: Lost in Translation: Missverständnisse zwischen Mensch/Mensch und Mensch/Maschine und deren Auswirkungen auf Web-Security ===<br />
<br />
Wir schreiben das Jahr 2012 und in vielen<br />
Web-Entwicklungsprojekten wird das Thema "Sicherheit" noch immer als<br />
notwendiges Übel angesehen. Gerade erfahrene Entwickler sind oft zu<br />
sehr überzeugt von ihrer eigenen Codequalität, als dass sie offen für<br />
Feedback und konstruktive Kritik sind. Wenn es hart-auf-hart kommt, und<br />
Sie sich als Sicherheitsexperte gegen solche Entwickler behaupten<br />
wollen, dann benötigen Sie gute Argumente.<br />
<br />
In diesem interaktiven Vortrag stelle ich einige scheinbar trivial<br />
verständliche Quellcodebeispiele vor, die selbst von erfahrenen<br />
Programmierern (und wahrscheinlich auch vom OWASP Publikum) falsch<br />
verstanden werden. Weiterhin untersuche ich einige öffentlich gewordene<br />
Backdoors, die von Angreifern in den Quellcode der Web-Anwendungen<br />
eingeschleust wurden. Aus den Beispielen wird klar, dass viele<br />
Backdoors auf den ersten Blick (und auch auf den zweiten) harmlos<br />
aussehen, und die Schadroutine nur bei sehr genauem Hinsehen klar wird.<br />
<br />
Die vorgestellten Beispiele verwende ich regelmäßig in Workshops, um<br />
übermäßig selbstbewussten Web-Entwicklern zu veranschaulichen, dass<br />
auch sie in ihrem Verständnis von Quellcode nicht unfehlbar sind. Das<br />
ist eine wichtige Erkenntnis, um einzusehen, dass niemand vor<br />
Sicherheitsschwachstellen gefeit ist und dass selbst erfahrene<br />
Web-Entwickler regelmäßig in sicherer Softwareentwicklung geschult<br />
werden müssen.<br />
<br />
<br> <br />
<br />
=== Juraj Somorovsky and Christian Mainka: On Breaking SAML - Be Whoever You Want to Be ===<br />
<br />
The Security Assertion Markup Language (SAML) is a widely<br />
adopted language for making security statements about subjects. It is a<br />
critical component for the development of federated identity<br />
deployments and Single Sign- On scenarios. In order to protect<br />
integrity and authenticity of the exchanged SAML assertions, the XML<br />
Signature standard is applied. However, the signature verification<br />
algorithm is much more complex than in traditional signature formats<br />
like PKCS#7. The integrity protection can thus be successfully<br />
circumvented by application of different XML Signature specific<br />
attacks, under a weak adversarial model.<br />
<br />
In this talk we describe an in-depth analysis of 14 major SAML<br />
frameworks and show that 11 of them, including Salesforce, Shibboleth,<br />
and IBM XS40, have critical XML Signature wrapping vulnerabilities. We<br />
present efficient and practical countermeasures to thwart these<br />
attacks. Moreover, based on our analysis, we developed an automated<br />
penetration testing tool for XML Signature Wrapping called WS-Attacker.<br />
We discuss its main features and its application to SAML-based<br />
frameworks.<br />
<br />
<br> <br />
<br />
=== Rüdiger Bachmann and Achim D. Brucker: 1000 Projekte später: Statische Codeanalyse im Großunternehmen ===<br />
<br />
Statische Code Analyse (SCA) spielt im<br />
Softwareentwicklungsprozess (SDLC) eine wichtige Rolle um mögliche<br />
Sicherheitsschwachstellen bereits zur Entwicklungszeit zu finden und zu<br />
beheben.<br />
Die großflächige Einführung statischer Code Analyse bei einem großen<br />
Softwarehersteller stellt eine große Herausforderung dar. Neben den<br />
technischen Schwierigkeiten durch die schiere Anzahl und Größe der<br />
Softwareprojekte oder der Vielzahl unterschiedlicher<br />
Programmiersprachen (ABAP, C, Objective-C, JavaScript, ...), ergeben<br />
sich auch nicht-technische Probleme wie die Schaffung des notwendigen<br />
Problembewusstseins, Schulung der Mitarbeiter im Umgang der verwendeten<br />
Tools, Einbindung der Analyse in vorhandene Entwicklungs- und<br />
Wartungsprozesse.<br />
In diesem Vortrag berichten wir von unseren Erfahrungen in der<br />
großflächigen Einführung von statischer Code Analyse innerhalb der SAP<br />
AG.<br />
<br />
<br> <br />
<br />
=== Simon Bennetts: OWASP Zed Attack Proxy ===<br />
<br />
The OWASP Zed Attack Proxy (ZAP) is an easy to use integrated<br />
penetration testing tool for finding vulnerabilities in web<br />
applications.<br />
<br />
It is community project, being maintained by a worldwide group of<br />
volunteers and is completely free, open source and cross platform.<br />
Since its release in 2010 ZAP has gone from strength to strength and is<br />
now a flagship OWASP project.<br />
Simon (the ZAP project lead) will :<br />
<br />
* Introduce ZAP to those who have not encountered it before<br />
* Detail the new features in the most recent releases<br />
* Explain the 3 ZAP related Google Summer of Code projects<br />
* Talk about the future plans<br />
<br />
<br> <br />
<br />
=== Matthias Rohr: Threat Modeling von Webanwendungen: Mythen and Best Practices ===<br />
<br />
Mittels einer Bedrohungsmodellierung (engl. Threat Modelling)<br />
lassen sich Risiken, wie etwa potentielle Schwachstellen, bereits<br />
frühzeitig im Rahmen der Entwicklung einer Webanwendung identifizieren<br />
und mit entsprechenden Maßnahmen entgegenwirken. Auch können<br />
Penetrationstests und andere Testmethoden auf Basis eines bestehenden<br />
Bedrohungsmodells in der Regel deutlich effektiver geplant und<br />
durchgeführt werden.<br />
<br />
In der Praxis ist die konkrete Durchführung allerdings häufig mit<br />
zahlreichen Schwierigkeiten verbunden. So existieren zwar einige<br />
konkrete Vorgehensweisen (z.B. Microsoft, PASTA, T-MAP, TRIKE sowie<br />
gleich mehrere auf der OWASP-Webseite selbst), doch verfolgen diese<br />
teilweise recht unterschiedliche Ansätze und eignen sich gewöhnlich<br />
auch nur für bestimmte Anwendungsszenarios und Zielgruppen. Auch<br />
deshalb ist die Verwirrung beim Thema Bedrohungsmodellierung häufig<br />
recht groß.<br />
<br />
Im Rahmen dieses Vortrages, der auf mehrjährigen Erfahrungen mit der<br />
der Erstellung von Bedrohungsmodellen von Webanwendungen basiert,<br />
werden zahlreiche geläufige Mythen aufgeklärt und entsprechende Best<br />
Practices erläutert. Weiterhin wird eine praxisbezogene Vorgehensweise<br />
vorgestellt, mit der sich die Durchführung von Bedrohungsmodellierungen<br />
leicht skalieren, in unterschiedlichen Szenarien einbinden und effektiv<br />
in bestehende Entwicklungsprozesse integrieren lässt.<br />
<br />
<br> <br />
<br />
=== Jim Manico: Sheet Cheats ===<br />
<br />
We cannot hack or firewall our way secure. Application programmers need<br />
to learn to code in a secure fashion if we have any chance of providing<br />
organizations with proper defenses in the current threatscape. This talk<br />
will discuss the 10 most important security-centric computer programming<br />
techniques necessary to build low-risk web-based applications. This talk<br />
is best suited for technical web application development professionals<br />
at any stage of the software development lifecycle.<br />
<br />
<br> <br />
<br />
=== Sachar Paulus: Sicherheitsanforderungen: oft vernachlässigt, dabei sehr nützlich! ===<br />
<br />
Die Formulierung von Sicherheitsanforderungen findet in<br />
vielen Projekten so gut wie nie statt - doch wie soll eine Software<br />
"sicher" sein, wenn noch nicht einmal klar ist, was "sicher" bedeuten<br />
soll.<br />
<br />
Dieser Vortrag gibt einen Überblick wie Kunden und Nutzer von Software<br />
und Software-Entwicklungsprojekten durch recht schlanke Prozesse zur<br />
Erstellung von Sicherheitsanforderungen die Sicherheit der verwendeten<br />
Applikationen deutlich verbessern können.<br />
<br />
Für das Testen auf Sicherheit, also die Untersuchung von Software auf<br />
Schwachstellen werden meist Prüfkataloge und Best Practices<br />
herangezogen, die die Erfahrungen und das Know-How der testenden<br />
Organisation widerspiegeln, und leider nicht die Aspekte, die ein<br />
gezielter Angriff mit entsprechender Vorab-Analyse ausnutzen würde. Das<br />
ist in etwa vergleichbar mit dem Bild, bei dem ein betrunkener Mann<br />
seinen verlorenen Hausschlüssel im Lichtkreis einer Laterne sucht - und<br />
nicht da, wo er ihn verloren hat, mit der Begründung: im Licht sehe er<br />
wenigstens etwas…<br />
<br />
Die Lösung dieser Problematik besteht darin, dass man das, was getestet<br />
(und natürlich vorher entwickelt) werden soll, überhaupt erst einmal<br />
erfasst und beschreibt. So wie es für funktionale Anforderungen seit<br />
Jahren üblich ist, so müssen auch nicht-funktionale Anforderungen, hier<br />
speziell Sicherheitsanforderungen, auch aufgenommen und dokumentiert<br />
werden.<br />
<br />
Für die Ermittlung von Sicherheitsanforderungen kann sehr gut eine<br />
vereinfachte Variante der Bedrohungsmodellierung herhalten. Um das<br />
Testen einfacher zu machen, können für nicht-funktionale Anforderungen<br />
Akzeptanzkritrien formuliert werden. Dies sind nur zwei einfache<br />
Werkzeuge, diese werden im Vortrag ausführlicher dargestellt.<br />
<br />
<br> <br />
<br />
=== Sven Vetsch: Node.js Security - Old vulnerabilities in new bottles ===<br />
<br />
New technologies are a good thing as they drive innovation.<br />
Especially in the web world, innovation is what lead to todays<br />
popularity of sites like Google, Twitter and Facebook. Regarding<br />
security, new technologies also come with the possibility to avoid<br />
known security issues already in the design of a technology or for<br />
example a new programming language. Unfortunately most of the time,<br />
security is not a main focus and therefor also known faults are done<br />
over and over again. In addition to this, new technologies also tend to<br />
invent new vulnerability classes or at least open new ways to exploit<br />
known security issues.<br />
<br />
In this talk I'll take as a practical example the Node (Node.js)<br />
project which allows server side non-blocking JavaScript development.<br />
It's great to have the same language for the frontend as for the<br />
backend as it makes things much easier to connect and also the frontend<br />
and backend developers can better understand each others work. Many<br />
people still think about JavaScript as static *.js files somewhere in a<br />
web accessible directory which is not security relevant as it's static.<br />
This is simply not the case. In the past there where already a lot of<br />
reported security problems related to JavaScript so the question is:<br />
Will those problems also affect Node? I will answer this and more<br />
questions during the talk but be assured, we'll end up with a reverse<br />
shell ;)<br />
<br />
<br> <br />
<br />
=== Andreas Kurtz: Laufzeitanalyse & Manipulation von Apple iOS Apps ===<br />
<br />
Mit der Veröffentlichung des Software Development Kits für<br />
die Apple iOS Plattform im Jahr 2008, wurde es erstmals offiziell<br />
möglich, Apples mobile Geräte um eigenentwickelte Applikationen (Apps)<br />
zu erweitern. Seit dieser Zeit wurden in Apples App Store mehr als<br />
650.000 Apps bereitgestellt und diese über 30 Milliarden Mal<br />
heruntergeladen (Stand: Juni 2012).<br />
<br />
iOS Apps werden dabei primär in Objective-C entwickelt. Objective-C ist<br />
eine objektorientierte Erweiterung und strikte Obermenge der<br />
Programmiersprache C, deren Syntax und Konzeption stark an Smalltalk<br />
angelehnt ist. Ähnlich wie viele andere moderne Programmiersprachen,<br />
bietet auch die Objective-C Laufzeitumgebung eine umfangreiche<br />
Reflection-API. Diese ermöglicht den Zugriff sowie die Manipulation von<br />
Klassen und Methoden zur Laufzeit. Dadurch können interne App-Zustände<br />
und Abläufe zur Laufzeit beliebig manipuliert werden.<br />
<br />
Im Rahmen des Vortrags werden zunächst die Hintergründe und<br />
erforderlichen Techniken zur Laufzeitmanipulation von iOS Apps<br />
erläutert: Durch das Einbringen von Bibliotheken in den Prozess einer<br />
laufenden App wird diese nachträglich um Debugging-Funktionalitäten<br />
erweitert. Anschließend können darüber interne Abläufe untersucht und<br />
verändert, vorhandene Methoden beliebig ausgeführt oder deren<br />
Implementierung überschrieben werden. Anhand einiger Praxisbeispiele<br />
wird demonstriert, wie die Laufzeitmanipulation das Reverse Engineering<br />
von Apps erleichtern kann und welche neuen Bedrohungen daraus für<br />
mobile Apps resultieren.<br />
<br />
<br> <br />
<br />
=== Robert Rachwald: A CAPTCHA in the Rye ===<br />
<br />
A CAPTCHA, or Completely Automated Public Turing test to tell<br />
Computers and Humans Apart, is a common security measures used to distinguish between humans<br />
and a "phony". Ideally, a CAPTCHA should distinguish human users from<br />
automated browsing applications, preventing automated tools from abusing online services.<br />
Hackers have deployed numerous methods to bypass CAPTCHAs, such as outsourcing<br />
readers to India or creating CAPTCHA games that reward users with<br />
pornographic images. <br />
<br />
The line between real and phony isn’t clear, forcing security professionals<br />
to present CAPTCHAs sub optimally.<br />
This talk will present several innovative CAPTCHA methods have appeared<br />
recently and review the use of CAPTCHAs as a security mechanism against<br />
malicious automation. We report and analyze four case studies and<br />
provide recommendations on ways to implement CAPTCHAs as an integrated<br />
part of a security strategy. Specifically, security teams should:<br />
<br />
* Use novel CAPTCHA methods that make the CAPTCHA into something<br />
enjoyable, like a mini-game.<br />
* Minimize the number of CAPTCHA challenges that legitimate users<br />
encounter. <br />
<br />
The idea is to present a CAPTCHA only when users exhibit<br />
suspicious behavior. To detect such, the site should use the other<br />
automation detection mechanisms.<br />
<br />
<br> <br />
<br />
=== Sebastian Lekies: Lightweight Integrity Protection for Web Storage-driven Content Caching ===<br />
<br />
The term Web storage summarizes a set of browser- based technologies<br />
that allow application-level persistent storage of key/values pairs on<br />
the client-side. These capabilities are frequently used for caching of<br />
markup or script code fragments, e.g., in scenarios with specific<br />
bandwidth or responsiveness requirements. <br />
<br />
Unfortunately, this practice<br />
is inherently insecure, as it may allow attackers to inject malicious<br />
JavaScript payloads into the browser’s Web storage. Such payloads<br />
reside in the victim’s browser for a potentially prolonged period and<br />
lead to resident compromise of the application’s client-side code.<br />
<br />
In this paper, we first present three possible attack scenarios that<br />
showcase how an attacker is able to inject code into web storage. Then<br />
we verify that Web storage is indeed used in the outlined, insecure<br />
fashion, via a large-scale study of the top 500.000 Alexa domains.<br />
Furthermore, we propose a lightweight integrity protecting mechanism<br />
that allows developers to store markup and code fragments in Web<br />
storage without risking a potential compromise. Our protection approach<br />
can be introduced without requiring browser modifications and<br />
introduces only negligible performance overhead.<br />
<br />
<br> <br />
<br />
=== Michael Spreitzenbarth: The Dark Side of Android Applications ===<br />
<br />
It is now well-known that, for various reasons, Android has<br />
become the leading OS for smartphones with more than 50% of worldwide<br />
market share within only a few years. This fast growth rate also has an<br />
evil side. Android brought backdoors and trojans to the yet spared<br />
Linux world with growth rates of over 3,000% in the last half of 2011<br />
and about 15,000 newly discovered malicious applications in the second<br />
quarter of 2012.<br />
<br />
These malicious apps are only seldomly obfuscated and very basic in<br />
their functionality. In this presentation, we will give a short<br />
overview of the existing malware families and their main<br />
functionalities. As an example, we will present the results of reverse<br />
engineering a paradigmatic malware sample of the FakeRegSMS family.<br />
This sample was chosen because it tries to implement the first very<br />
simple approaches of obfuscation and behavior hiding.<br />
<br />
Afterwards, we will show how actual malware detection systems are<br />
working. In this step we will concentrate on, often self-written,<br />
static detection modules. The detection mainly relais on the<br />
combination of permissions, receivers and API calls. Some of these<br />
systems also try to detect if an application is under- or<br />
over-privileged by comparing the API calls and the requested<br />
permissions. The well known systems (MobileSandbox and Andrubis) use a<br />
dynamic analysis with TaintDroid/DroidBox as an additional step. These<br />
systems perform taint-analysis and monitor sensitive data throughout<br />
the complete data-flow of the application. With this functionality it<br />
is possible to detect which sensitive data is leaving the device. With<br />
the knowledge we gained in this step, we will then discuss why<br />
developers should take care of permissions and ad-networks they use<br />
within their applications.<br />
<br />
Especially ad-networks are a reason why benign apps are detected as<br />
malicious with an increasing frequency. This happens because this<br />
networks often send sensitive user data like unique identifiers (IMEI,<br />
IMSI, etc.) and sometimes even stored contact and calendar entries over<br />
the Internet. One of the most aggressive ad-networks is mobclix, which<br />
tries to get access to stored account data, location of the user and<br />
even tries to get write access to contacts and calendar. The well known<br />
ad-library mOcean is even able to send SMS messages and start phone<br />
calls without user interaction and notice.<br />
<br />
We conclude with discussing the following questions: How do you get<br />
infected? What was the main goal of malware authors in recent malicious<br />
applications? And finally, how does the future of malware look like?<br />
<br />
<br> <br />
<br />
=== Florian Stahl: Privacy by Design am Beispiel Facebook ===<br />
<br />
Der Vorschlag für die Überarbeitung der Anfang des Jahres publizierten<br />
europäischen Datenschutzrichtlinie sieht vor das Konzept „Privacy by<br />
Design“ (PbD) verpflichtend zu machen. Dies wird auch bei der<br />
Entwicklung von Webanwendungen zu neuen Anforderungen führen, wenn<br />
diese personenbezogene Daten verarbeiten. Bisher wird Privacy by Design<br />
selten konsequent berücksichtigt, da Datenschutz kaum als explizite<br />
Anforderung im Pflichtenheft auftaucht und vielen Projektleitern und<br />
Softwareentwicklern die Kenntnisse in dem Bereich fehlen. Deshalb<br />
werden in<br />
diesem Vortrag die zukünftig erforderlichen Grundlagen von Privacy by<br />
Design erläutert und Beispiele geliefert, die sich bei der Entwicklung<br />
von Webapplikationen in der Praxis bewährt haben. Dabei werden auch die<br />
sieben Prinzipien von Privacy by Design nach Ann Cavoukian (kanadische<br />
Mitgründerin des Konzepts) vorgestellt. <br />
<br />
Neben dem<br />
datenschutzfreundlichen Design von Produkten<br />
bzw. Applikationen z.B. durch Anonymisierung, Verschlüsselung und<br />
Datensparsamkeit gelten u.A.Transparenz, Datenschutz als<br />
Standard-Einstellung (Default) und der Schutz von Daten im kompletten<br />
Lebenszyklus als zentrale Aspekte von Privacy by Design. Die Vorgaben<br />
gelten aber nicht nur für die Applikation selbst, sondern auch für die<br />
Prozesse rund um die Entwicklung und den Transfer von Daten z.B.<br />
während der Migration. <br />
<br />
Für existierende Webanwendungen sollte nach der<br />
für 2014 geplanten Einführung der neuen Richtlinie ein "Privacy by<br />
Redesign" in Erwägung gezogen werden, um fehlende Datenschutz-Maßnahmen<br />
nachträglich zu implementieren. Ein derartiges Vorgehen wird im Vortrag<br />
am Beispiel des sozialen Netzwerks Facebook vorgestellt, das in der<br />
Vergangenheit durch seinen umstrittenen Umgang mit den Daten seiner<br />
Nutzer aufgefallen ist. Es wird untersucht, ob und wie man das soziale<br />
Netzwerk konform zum Konzept Privacy by Design machen könnte, denn die<br />
neuen europäischen Datenschutzvorgaben sollen auch für<br />
nicht-europäische Unternehmen gelten, wenn sie Daten von EU-Bürgern<br />
speichern oder verarbeiten.<br />
<br />
<br> <br />
<br />
=== Bastian Braun, Patrick Gemein and Hans Reiser: Der Weg ist das Ziel - Kontrollfluss-Integrität in Web-Applikationen sichern ===<br />
<br />
Moderne Web-Applikationen implementieren häufig komplexe<br />
Kontrollflüsse, die erfordern, dass die Benutzer ihre Aktionen in einer<br />
bestimmten Reihenfolge ausführen. Die Benutzer interagieren mit<br />
Web-Applikationen durch das Senden von HTTP-Anfragen (requests) mit<br />
Parametern und den Empfang von Antworten (responses), die Verweise<br />
(hyperlinks) enthalten und dadurch die nächsten Schritte bestimmen.<br />
Falls eine Web-Applikation darauf vertraut, dass Benutzer nur den in<br />
ihre Webseiten eingebundenen Verweisen folgen, können bösartige<br />
Benutzer Anfragen generieren, die auf Seiten des Betreibers der<br />
Web-Applikation Schaden anrichten.<br />
<br />
Analysen von Angriffen mit Benutzer-generierten Anfragen auf<br />
Web-Applikationen zeigen, dass die Ursache in der fehlenden<br />
Kontrollfluss-Definition und –Durchsetzung auf Serverseite zu finden<br />
ist. Unter anderem hat sich herausgestellt, dass die verwendeten<br />
Parameter ein wichtiger Aspekt der Wirkung von Anfragen sind. Darauf<br />
aufbauend haben wir einen Kontrollfluss-Monitor entwickelt, der sowohl<br />
bei existierenden als auch bei neu zu entwickelnden Web-Applikationen<br />
angewendet werden kann. Er wird über eine Kontrollfluss-Definition<br />
konfiguriert und garantiert der geschützten Web-Applikation, dass<br />
ausschließlich die definierten Anfrage-Sequenzen und erwartete<br />
Parameter von der Web-Applikation verarbeitet werden müssen. <br />
<br />
Der<br />
implementierte Kontrollfluss-Monitor verhindert Race Conditions, eine<br />
besondere Form von Angriffen auf die Kontrollfluss-Integrität von<br />
Web-Applikationen. Darüber hinaus unterstützt er aktuelle<br />
Browser-Features wie Multitabbing und die Verwendung des<br />
"Zurück"-Knopfes. Die Evaluierung ergab, dass der Kontrollfluss-Monitor<br />
einen erträglichen Overhead verursacht.<br />
<br />
<br> <br />
<br />
=== Marcus Niemietz: UI-Redressing-Angriffe auf Android ===<br />
<br />
Bereits im Jahr 2002 war der Security-Community intuitiv klar, dass<br />
transparente Elemente innerhalb eines Webbrowsers eine Gefahr für den<br />
Benutzer darstellen. Dies resultierte unmittelbar aus der Überlegung,<br />
dass ein Opfer auf ein Element wie eine Schaltfläche klicken kann, ohne<br />
zu sehen das ein Klick auf diese Schaltfläche erfolgt. Das daraus<br />
abgeleitete Verfahren wurde im Jahr 2008 neu aufgegriffen und mit dem<br />
Begriff Clickjacking bezeichnet. Dabei hatte ein Angreifer die<br />
Möglichkeit einen automatischen Zugriff auf die Kamera sowie das<br />
Mikrofon eines Opfers (ohne dessen Wissen) zu erhalten. Seit dem Jahr<br />
2008 hat sich eine Vielfalt von auf Clickjacking basierenden Angriffen<br />
gebildet, die heutzutage unter der Angriffsmenge des UI-Redressing<br />
fallen.<br />
In diesem Vortrag wird gezeigt, welche UI-Redressing-Angriffe und<br />
Gegenmaßnahmen sich auf das Betriebssystem Android übertragen lassen.<br />
Dabei wird ein Schwerpunkt auf Clickjacking ähnliche Angriffsmethoden<br />
(Tapjacking) gelegt, die keinen Webbrowser benötigen. Ein Angreifer<br />
kann daher mit einer Applikation, die bspw. keine Rechte zum<br />
telefonieren hat, mit nur einer Touch-Geste eine beliebige und vom<br />
Angreifer definierte Telefonnummer ungewollt anrufen.<br />
<br />
<br><br />
<br />
=== ''Closing Note'': Angela Sasse — Making systems secure and usable - what can software developers do ===<br />
<br />
<br></div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012&diff=135534German OWASP Day 20122012-09-10T08:25:01Z<p>Ingo Hanke: </p>
<hr />
<div>__TOC__<br />
<br />
[[Image:2012_owasp_day_w_480px.png|center|Logo 5th German OWASP Day]]<br />
<br />
<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center> <br />
<br> <br />
<br />
== German OWASP Day 2012 ==<br />
<br />
<span style="font-size:150%"><br />
An dem überaus erfolgreich verlaufenden OWASP Day [https://www.owasp.org/index.php/German_OWASP_Day_2011 2011] wollen wir 2012 anknüpfen. Wir freuen uns auf zahlreiche spannende Einreichungen für die fünfte Inkarnation unserer Konferenz.<br />
</span><br />
<br />
<br />
=== Wann + Wo ===<br />
Mittwoch, den 7.11.2012, ab 9:00 bis zirka 18:00 Uhr<br />
<br />
Hotel [http://www.dolcemunich.com/ Dolce Munich Unterschleissheim] (Andreas-Danzer-Weg 1, 85716 Unterschleißheim)<br />
<br />
Die Vorabendveranstaltung wird im Augustiner Bräu München ab 19:30 Uhr stattfinden.<br />
<br />
<br />
== CfP und Speaker Agreement ==<br />
<br />
Das Programmkomitee hatte zahlreiche hochklassige Beiträge zum OWASP Day 2012. Fachliche Details, Deadlines und mehr sind dem <br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/CfP|CfP]]</span> zu entnehmen.<br />
<br />
<br />
== Programm ==<br />
<br />
Die vollständige Agenda, alle Referenten und die Abstracts zu den Vorträgen finden Sie im <span style="text-decoration: underline">[[German_OWASP_Day_2012/Programm|Konferenzprogramm]]</span>.<br />
<br />
== Sponsoren ==<br />
<br />
Auch dieses Jahr gibt es wieder die Möglichkeit für interessierte Firmen, Ihren Support für das Open Web Application Security Project zu zeigen und sich in verschiedenen Formen während des OWASP Days 2012 zu präsentieren. Details haben wir auf einer<br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/Sponsoren|separaten Seite]]</span> zusammengestellt.<br />
<br />
<br />
== Übernachtungen/Anreise ==<br />
<br />
Für alle, die nicht aus München kommen, gibt es <span style="text-decoration: underline">[[German_OWASP_Day_2012/Lokales|hier]]</span> weitere Infos wie Abrufkontingente und ein paar lokale Informationen.<br />
<br />
<br />
== Registrierung + Eintrittspreise == <br />
<br />
Die Registrierung ist offen und erfolgt über [[http://reg.owasp.de reg.owasp.de]]<br />
<br />
<br><br />
<br />
Für den OWASP German Day 2012 gelten folgenden Preise (inkl. gesetzl. MwSt.): <br />
<br />
*Nicht-Mitglieder Early Bird: 260,00 €<br />
*Nicht-Mitglieder: 330,00 €<br />
*Mitglieder Early Bird: 220,00 €<br />
*Mitglieder: 260,00 €<br />
*Studenten: 70,00 €.<br />
<br />
Eine Registrierung zu Early-Bird-Preisen ist bis zum 30.9.2012 möglich. Ein gültiger Studenten- oder OWASP-Mitgliedsausweis o.ä. ist bei der Registrierung vor Ort vorzulegen. <br />
<br />
<br />
<br />
== Wir danken unseren Sponsoren ==<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:8em" | Platin<br />
|-<br />
| [[Image:Optimabit logo 692.33p.jpg|left|228x51px|link=http://www.optimabit.com/|www.optimabit.com]]<br />
|}<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Gold <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Silber <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Bronze<br />
|-<br />
| [[Image:Sicsec-130x39.png|left|link=http://www.sicsec.de/|www.sicsec.de]] <br />
| [[Image:Isseco_logo_224x84.gif|left|link=http://www.isseco.org/|www.isseco.org]]<br />
| [[Image:TC-Logo-mit-Firmennamen-RGB.gif|left|link=http://www.tele-consulting.com|www.tele-consulting.com]]<br />
|-<br />
| [[Image:Schutzwerk-300x29.png|left|link=http://www.schutzwerk.com|www.schutzwerk.com]] <br />
|<br />
| [[Image:1und1_Logo_4c_62x62.png|left|link=http://www.1und1.de/|www.1und1.de]]<br />
|-<br />
| [[Image:SecureNet-Logo-240x56.png|left|link=http://www.securenet.de|www.securenet.de]] <br />
|<br />
|<br />
|-<br />
| [[Image:denyall.jpg|left|link=http://www.denyall.com|www.denyall.com]] <br />
|<br />
|<br />
|-<br />
| [[Image:logo-infrasec-1.jpg|left|link=http://www.infrasec-ag.de|www.infrasec-ag.de]]<br />
|<br />
|<br />
|}<br />
<br />
== Organisation ==<br />
<br />
*Birgit Bernskötter (Extern) <br />
<br />
*Hartwig Gelhausen<br />
*[[User:Ingo Hanke|Ingo Hanke]]<br />
*[[User:Achim|Achim Hoffmann]] (Board Member) <br />
*Martin Johns (Board Member)<br />
*[[User:Bruce Sams|Bruce Sams]] (Board Member) <br />
*[[User:Dr. Emin Tatlı|Emin Tatlı]] (Board Member)<br />
*[[User:Dirk Wetter|Dirk Wetter]] (Board Member)<br />
<br />
== Hash tag ==<br />
<br />
[https://twitter.com/#!/search/%23owasp_d2012 #owasp_d2012] <br />
<br />
<br> <headertabs /> <!-- this will sort under capital O<br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2011]]<br />
--> <br />
<br />
<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2012 <top>] <br />
<br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012/Programm&diff=135533German OWASP Day 2012/Programm2012-09-10T08:22:20Z<p>Ingo Hanke: </p>
<hr />
<div>__NOTOC__<br />
<br />
== Agenda / Presentations ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | '''Mittwoch, 07. November 2012''' <br />
<br> <br />
<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | <br> <br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Auditorium 1 <br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Auditorium 2<br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Auditorium 3 (Mobile Applications Track)<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' -- N.N.<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Keynote: Volkmar Lotz'''<br> ''Security-Ausbildung in einem Großunternehmen der Softwareindustrie - Erfahrungen und Herausforderungen'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30 <br />
| align="center" colspan="4" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP Introduction'''<br> ''Jim Manico, co-presented by Jerry Hoff'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:45 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | XSS von 1999 bis 2013 - Die Doctrine Classique der Websicherheit <br> ''Mario Heiderich'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Code Review: Prinzipien, Grenzen und Organisation <br> ''Bruce Sams''<br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:30 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Lost in Translation: Missverständnisse zwischen Mensch/Mensch und Mensch/Maschine und deren Auswirkungen auf Web-Security <br> ''Sebastian Schinzel'' <br> <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | On Breaking SAML: Be Whoever You Want to Be <br> ''Juraj Somorovsky und Christian Mainka''<br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:15 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | ''1000 Projekte später: Statische Codeanalyse im Großunternehmen'' <br> ''Rüdiger Bachmann und Achim D. Brucker'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | OWASP Zed Attack Proxy <br> ''Simon Bennetts'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:15 - 15:00 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Threat Modeling von Webanwendungen: Mythen and Best Practices <br> ''Matthias Rohr'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Sheet Cheats <br> ''Jim Manico'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:30 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:30 - 16:05 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Sicherheitsanforderungen: oft vernachlässigt, dabei sehr nützlich! <br> ''Sachar Paulus'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Node.js Security - Old vulnerabilities in new bottles <br> ''Sven Vetsch'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Laufzeitanalyse & Manipulation von Apple iOS Apps <br> ''Andreas Kurtz'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:05 - 16:40 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | A CAPTCHA in the Rye <br> ''Robert Rachwald'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Lightweight Integrity Protection for Web Storage-driven Content Caching <br> ''Sebastian Lekies'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | The Dark Side of Android Applications <br> ''Michael Spreitzenbarth'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:40 - 17:15 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Privacy by Design am Beispiel Facebook <br> ''Florian Stahl'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Der Weg ist das Ziel - Kontrollfluss-Integrität in Web-Applikationen sichern <br> ''Bastian Braun, Patrick Gemein and Hans Reiser'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | UI-Redressing-Angriffe auf Android <br> ''Marcus Niemietz'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 18:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Closing Note: Angela Sasse''' <br>''Making systems secure and usable - what can software developers do''<br />
|}<br />
<br />
<br> <br />
<br />
== Details zu den Vorträgen ==<br />
<br />
<br> <br />
<br />
=== ''Keynote'': Volkmar Lotz — Security-Ausbildung in einem Großunternehmen der Softwareindustrie - Erfahrungen und Herausforderungen ===<br />
<br />
<br> <br />
<br />
=== ''OWASP Introduction'': Jim Manico, co-presented by Jerry Hoff ===<br />
<br />
<br> <br />
<br />
=== Mario Heiderich: XSS von 1999 bis 2013 - Die Doctrine Classique der Websicherheit ===<br />
<br />
Cross-Site Scripting Angriffe wurden erstmals vor circa 14 Jahren<br />
dokumentiert. Seitdem hat diese Angriffstechnik eine Evolution<br />
durchzogen, die klassischen Dramentheorie ähnelt - inklusive<br />
Katastase, Heldentum und Peripetie.<br />
<br />
Nun hält HTML Einzug in die Welt der Betriebssysteme, und das Drama<br />
XSS befindet sich an der Baumgrenze zur Katastrophe - der harmlose<br />
"Alert" hat sich zum schwarzen Schwan beliebiger Code-Ausführung im<br />
Betriebssystem gewandelt.<br />
<br />
Dieser Vortrag zeigt die Evolution der Angriffstechnik XSS, untersucht<br />
unser aller Fehler in der bisherig angewandten Bekämpfung, bietet<br />
konsequente Ausblicke und schließt mit Denkanstößen für das Jahr 2013<br />
und fortfolgend.<br />
<br />
<br> <br />
<br />
=== Bruce Sams: Code Review: Prinzipien, Grenzen und Organisation ===<br />
<br />
Code Review ist ein immer beliebteres Mittel, um<br />
Schwachstellen im Code während der Entwicklung zu entdecken. Dieser<br />
Vortrag zeigt wie ein effektiver Code Review gestaltet und durchgeführt<br />
wird. Zuerst werden die Prinzipien von Code Review anhand von aktuellen<br />
Beispielen in Java/JEE erläutert: Cross-Site-Scripting, SQL-Injection,<br />
Command-Injection und die Validierung von Eingabedaten werden<br />
besprochen und Lösungen gezeigt, wie derartige Schwachstellen<br />
identifiziert werden können. Danach werden problematische Fälle wie<br />
z.B. HashMaps und dynamisch geladene Klassen untersucht. Im Allgemeinen<br />
wird das Thema Tracing über mehrere Aufrufe hinweg erklärt, und das<br />
Verhältnis False Positive zu False Negative angesprochen.<br />
<br />
Zur Verdeutlichung der Beispiele wird das Open Source Tool FindBugs<br />
verwendet. Darüber hinaus wird ein neuer Satz von über 30 Detektoren<br />
für Findbugs vorgestellt. Diese Detektoren identifizieren<br />
Schwachstellen, die standardmäßig unentdeckt bleiben.<br />
Zum Abschluss wird die Organisation eines Reviews besprochen und die<br />
Integration von Code Review in dem sicheren SDLC vorgestellt. Diese<br />
Diskussion basiert auf eingehende Erfahrung in mehreren deutschen<br />
Großunternehmen.<br />
<br />
Am Ende hat der Teilnehmer einen Überblick über die Vorteile und auch<br />
die Grenzen von Code Review und weiß, wie ein effektiver Review<br />
gestalten werden soll.<br />
<br />
<br> <br />
<br />
=== Sebastian Schinzel: Lost in Translation: Missverständnisse zwischen Mensch/Mensch und Mensch/Maschine und deren Auswirkungen auf Web-Security ===<br />
<br />
Wir schreiben das Jahr 2012 und in vielen<br />
Web-Entwicklungsprojekten wird das Thema "Sicherheit" noch immer als<br />
notwendiges Übel angesehen. Gerade erfahrene Entwickler sind oft zu<br />
sehr überzeugt von ihrer eigenen Codequalität, als dass sie offen für<br />
Feedback und konstruktive Kritik sind. Wenn es hart-auf-hart kommt, und<br />
Sie sich als Sicherheitsexperte gegen solche Entwickler behaupten<br />
wollen, dann benötigen Sie gute Argumente.<br />
<br />
In diesem interaktiven Vortrag stelle ich einige scheinbar trivial<br />
verständliche Quellcodebeispiele vor, die selbst von erfahrenen<br />
Programmierern (und wahrscheinlich auch vom OWASP Publikum) falsch<br />
verstanden werden. Weiterhin untersuche ich einige öffentlich gewordene<br />
Backdoors, die von Angreifern in den Quellcode der Web-Anwendungen<br />
eingeschleust wurden. Aus den Beispielen wird klar, dass viele<br />
Backdoors auf den ersten Blick (und auch auf den zweiten) harmlos<br />
aussehen, und die Schadroutine nur bei sehr genauem Hinsehen klar wird.<br />
<br />
Die vorgestellten Beispiele verwende ich regelmäßig in Workshops, um<br />
übermäßig selbstbewussten Web-Entwicklern zu veranschaulichen, dass<br />
auch sie in ihrem Verständnis von Quellcode nicht unfehlbar sind. Das<br />
ist eine wichtige Erkenntnis, um einzusehen, dass niemand vor<br />
Sicherheitsschwachstellen gefeit ist und dass selbst erfahrene<br />
Web-Entwickler regelmäßig in sicherer Softwareentwicklung geschult<br />
werden müssen.<br />
<br />
<br> <br />
<br />
=== Juraj Somorovsky and Christian Mainka: On Breaking SAML - Be Whoever You Want to Be ===<br />
<br />
The Security Assertion Markup Language (SAML) is a widely<br />
adopted language for making security statements about subjects. It is a<br />
critical component for the development of federated identity<br />
deployments and Single Sign- On scenarios. In order to protect<br />
integrity and authenticity of the exchanged SAML assertions, the XML<br />
Signature standard is applied. However, the signature verification<br />
algorithm is much more complex than in traditional signature formats<br />
like PKCS#7. The integrity protection can thus be successfully<br />
circumvented by application of different XML Signature specific<br />
attacks, under a weak adversarial model.<br />
<br />
In this talk we describe an in-depth analysis of 14 major SAML<br />
frameworks and show that 11 of them, including Salesforce, Shibboleth,<br />
and IBM XS40, have critical XML Signature wrapping vulnerabilities. We<br />
present efficient and practical countermeasures to thwart these<br />
attacks. Moreover, based on our analysis, we developed an automated<br />
penetration testing tool for XML Signature Wrapping called WS-Attacker.<br />
We discuss its main features and its application to SAML-based<br />
frameworks.<br />
<br />
<br> <br />
<br />
=== Rüdiger Bachmann and Achim D. Brucker: 1000 Projekte später: Statische Codeanalyse im Großunternehmen ===<br />
<br />
Statische Code Analyse (SCA) spielt im<br />
Softwareentwicklungsprozess (SDLC) eine wichtige Rolle um mögliche<br />
Sicherheitsschwachstellen bereits zur Entwicklungszeit zu finden und zu<br />
beheben.<br />
Die großflächige Einführung statischer Code Analyse bei einem großen<br />
Softwarehersteller stellt eine große Herausforderung da. Neben den<br />
technischen Schwierigkeiten durch die schiere Anzahl und Größe der<br />
Softwareprojekte oder der Vielzahl unterschiedlichen<br />
Programmiersprachen (ABAP, C, Objective-C, JavaScript, ...), ergeben<br />
sich auch nicht-technische Probleme wie die Schaffung des notwendigen<br />
Problembewusstseins, Schulung der Mitarbeiter im Umgang der verwendeten<br />
Tools, Einbindung der Analyse in vorhandene Entwicklungs- und<br />
Wartungsprozesse.<br />
In diesem Vortrag berichten wir von unseren Erfahrungen in der<br />
großflächigen Einführung von statischer Code Analyse innerhalb der SAP<br />
AG.<br />
<br />
<br> <br />
<br />
=== Simon Bennetts: OWASP Zed Attack Proxy ===<br />
<br />
The OWASP Zed Attack Proxy (ZAP) is an easy to use integrated<br />
penetration testing tool for finding vulnerabilities in web<br />
applications.<br />
<br />
It is community project, being maintained by a worldwide group of<br />
volunteers and is completely free, open source and cross platform.<br />
Since its release in 2010 ZAP has gone from strength to strength and is<br />
now a flagship OWASP project.<br />
Simon (the ZAP project lead) will :<br />
<br />
* Introduce ZAP to those who have not encountered it before<br />
* Detail the new features in the most recent releases<br />
* Explain the 3 ZAP related Google Summer of Code projects<br />
* Talk about the future plans<br />
<br />
<br> <br />
<br />
=== Matthias Rohr: Threat Modeling von Webanwendungen: Mythen and Best Practices ===<br />
<br />
Mittels einer Bedrohungsmodellierung (engl. Threat Modelling)<br />
lassen sich Risiken, wie etwa potentielle Schwachstellen, bereits<br />
frühzeitig im Rahmen der Entwicklung einer Webanwendung identifizieren<br />
und mit entsprechenden Maßnahmen entgegenwirken. Auch können<br />
Penetrationstests und andere Testmethoden auf Basis eines bestehenden<br />
Bedrohungsmodells in der Regel deutlich effektiver geplant und<br />
durchgeführt werden.<br />
<br />
In der Praxis ist die konkrete Durchführung allerdings häufig mit<br />
zahlreichen Schwierigkeiten verbunden. So existieren zwar einige<br />
konkrete Vorgehensweisen (z.B. Microsoft, PASTA, T-MAP, TRIKE sowie<br />
gleich mehrere auf der OWASP-Webseite selbst), doch verfolgen diese<br />
teilweise recht unterschiedliche Ansätze und eignen sich gewöhnlich<br />
auch nur für bestimmte Anwendungsszenarien und Zielgruppen. Auch<br />
deshalb ist die Verwirrung beim Thema Bedrohungsmodellierung häufig<br />
recht groß.<br />
<br />
Im Rahmen dieses Vortrages, der auf mehrjährigen Erfahrungen mit der<br />
der Erstellung von Bedrohungsmodellen von Webanwendungen basiert,<br />
werden zahlreiche geläufige Mythen aufgeklärt und entsprechende Best<br />
Practices erläutert. Weiterhin wird eine praxisbezogene Vorgehensweise<br />
vorgestellt, mit der sich die Durchführung von Bedrohungsmodellierungen<br />
leicht skalieren, in unterschiedlichen Szenarien einbinden und effektiv<br />
in bestehende Entwicklungsprozesse integrieren lässt.<br />
<br />
<br> <br />
<br />
=== Jim Manico: Sheet Cheats ===<br />
<br />
We cannot hack or firewall our way secure. Application programmers need<br />
to learn to code in a secure fashion if we have any chance of providing<br />
organizations with proper defenses in the current threatscape. This talk<br />
will discuss the 10 most important security-centric computer programming<br />
techniques necessary to build low-risk web-based applications. This talk<br />
is best suited for technical web application development professionals<br />
at any stage of the software development lifecycle.<br />
<br />
<br> <br />
<br />
=== Sachar Paulus: Sicherheitsanforderungen: oft vernachlässigt, dabei sehr nützlich! ===<br />
<br />
Die Formulierung von Sicherheitsanforderungen findet in<br />
vielen Projekten so gut wie nie statt - doch wie soll eine Software<br />
"sicher" sein, wenn noch nicht einmal klar ist, was "sicher" bedeuten<br />
soll.<br />
<br />
Dieser Vortrag gibt einen Überblick wie Kunden und Nutzer von Software<br />
und Software-Entwicklungsprojekten durch recht schlanke Prozesse zur<br />
Erstellung von Sicherheitsanforderungen die Sicherheit der verwendeten<br />
Applikationen deutlich verbessern können.<br />
<br />
Für das Testen auf Sicherheit, also die Untersuchung von Software auf<br />
Schwachstellen werden meist Prüfkataloge und Best Practices<br />
herangezogen, die die Erfahrungen und das Know-How der testenden<br />
Organisation widerspiegeln, und leider nicht die Aspekte, die ein<br />
gezielter Angriff mit entsprechender Vorab-Analyse ausnutzen würde. Das<br />
ist in etwa vergleichbar mit dem Bild, bei dem ein betrunkener Mann<br />
seinen verlorenen Hausschlüssel im Lichtkreis einer Laterne sucht - und<br />
nicht da, wo er ihn verloren hat, mit der Begründung: im Licht sehe er<br />
wenigstens etwas…<br />
<br />
Die Lösung dieser Problematik besteht darin, dass man das, was getestet<br />
(und natürlich vorher entwickelt) werden soll, überhaupt erst einmal<br />
erfasst und beschreibt. So wie es für funktionale Anforderungen seit<br />
Jahren üblich ist, so müssen auch nicht-funktionale Anforderungen, hier<br />
speziell Sicherheitsanforderungen, auch aufgenommen und dokumentiert<br />
werden.<br />
<br />
Für die Ermittlung von Sicherheitsanforderungen kann sehr gut eine<br />
vereinfachte Variante der Bedrohungsmodellierung herhalten. Um das<br />
Testen einfacher zu machen, können für nicht-funktionale Anforderungen<br />
Akzeptanzkritrien formuliert werden. Dies sind nur zwei einfache<br />
Werkzeuge, diese werden im Vortrag ausführlicher dargestellt.<br />
<br />
<br> <br />
<br />
=== Sven Vetsch: Node.js Security - Old vulnerabilities in new bottles ===<br />
<br />
New technologies are a good thing as they drive innovation.<br />
Especially in the web world, innovation is what lead to todays<br />
popularity of sites like Google, Twitter and Facebook. Regarding<br />
security, new technologies also come with the possibility to avoid<br />
known security issues already in the design of a technology or for<br />
example a new programming language. Unfortunately most of the time,<br />
security is not a main focus and therefor also known faults are done<br />
over and over again. In addition to this, new technologies also tend to<br />
invent new vulnerability classes or at least open new ways to exploit<br />
known security issues.<br />
<br />
In this talk I'll take as a practical example the Node (Node.js)<br />
project which allows server side non-blocking JavaScript development.<br />
It's great to have the same language for the frontend as for the<br />
backend as it makes things much easier to connect and also the frontend<br />
and backend developers can better understand each others work. Many<br />
people still think about JavaScript as static *.js files somewhere in a<br />
web accessible directory which is not security relevant as it's static.<br />
This is simply not the case. In the past there where already a lot of<br />
reported security problems related to JavaScript so the question is:<br />
Will those problems also affect Node? I will answer this and more<br />
questions during the talk but be assured, we'll end up with a reverse<br />
shell ;)<br />
<br />
<br> <br />
<br />
=== Andreas Kurtz: Laufzeitanalyse & Manipulation von Apple iOS Apps ===<br />
<br />
Mit der Veröffentlichung des Software Development Kits für<br />
die Apple iOS Plattform im Jahr 2008, wurde es erstmals offiziell<br />
möglich, Apples mobile Geräte um eigenentwickelte Applikationen (Apps)<br />
zu erweitern. Seit dieser Zeit wurden in Apples App Store mehr als<br />
650.000 Apps bereitgestellt und diese über 30 Milliarden Mal<br />
heruntergeladen (Stand: Juni 2012).<br />
<br />
iOS Apps werden dabei primär in Objective-C entwickelt. Objective-C ist<br />
eine objektorientierte Erweiterung und strikte Obermenge der<br />
Programmiersprache C, deren Syntax und Konzeption stark an Smalltalk<br />
angelehnt ist. Ähnlich wie viele andere moderne Programmiersprachen,<br />
bietet auch die Objective-C Laufzeitumgebung eine umfangreiche<br />
Reflection-API. Diese ermöglicht den Zugriff sowie die Manipulation von<br />
Klassen und Methoden zur Laufzeit. Dadurch können interne App-Zustände<br />
und Abläufe zur Laufzeit beliebig manipuliert werden.<br />
<br />
Im Rahmen des Vortrags werden zunächst die Hintergründe und<br />
erforderlichen Techniken zur Laufzeitmanipulation von iOS Apps<br />
erläutert: Durch das Einbringen von Bibliotheken in den Prozess einer<br />
laufenden App wird diese nachträglich um Debugging-Funktionalitäten<br />
erweitert. Anschließend können darüber interne Abläufe untersucht und<br />
verändert, vorhandene Methoden beliebig ausgeführt oder deren<br />
Implementierung überschrieben werden. Anhand einiger Praxisbeispiele<br />
wird demonstriert, wie die Laufzeitmanipulation das Reverse Engineering<br />
von Apps erleichtern kann und welche neuen Bedrohungen daraus für<br />
mobile Apps resultieren.<br />
<br />
<br> <br />
<br />
=== Robert Rachwald: A CAPTCHA in the Rye ===<br />
<br />
A CAPTCHA, or Completely Automated Public Turing test to tell<br />
Computers and Humans Apart, is a common security measures used to distinguish between humans<br />
and a "phony". Ideally, a CAPTCHA should distinguish human users from<br />
automated browsing applications, preventing automated tools from abusing online services.<br />
Hackers have deployed numerous methods to bypass CAPTCHAs, such as outsourcing<br />
readers to India or creating CAPTCHA games that reward users with<br />
pornographic images. <br />
<br />
The line between real and phony isn’t clear, forcing security professionals<br />
to present CAPTCHAs sub optimally.<br />
This talk will present several innovative CAPTCHA methods have appeared<br />
recently and review the use of CAPTCHAs as a security mechanism against<br />
malicious automation. We report and analyze four case studies and<br />
provide recommendations on ways to implement CAPTCHAs as an integrated<br />
part of a security strategy. Specifically, security teams should:<br />
<br />
* Use novel CAPTCHA methods that make the CAPTCHA into something<br />
enjoyable, like a mini-game.<br />
* Minimize the number of CAPTCHA challenges that legitimate users<br />
encounter. <br />
<br />
The idea is to present a CAPTCHA only when users exhibit<br />
suspicious behavior. To detect such, the site should use the other<br />
automation detection mechanisms.<br />
<br />
<br> <br />
<br />
=== Sebastian Lekies: Lightweight Integrity Protection for Web Storage-driven Content Caching ===<br />
<br />
The term Web storage summarizes a set of browser- based technologies<br />
that allow application-level persistent storage of key/values pairs on<br />
the client-side. These capabilities are frequently used for caching of<br />
markup or script code fragments, e.g., in scenarios with specific<br />
bandwidth or responsiveness requirements. <br />
<br />
Unfortunately, this practice<br />
is inherently insecure, as it may allow attackers to inject malicious<br />
JavaScript payloads into the browser’s Web storage. Such payloads<br />
reside in the victim’s browser for a potentially prolonged period and<br />
lead to resident compromise of the application’s client-side code.<br />
<br />
In this paper, we first present three possible attack scenarios that<br />
showcase how an attacker is able to inject code into web storage. Then<br />
we verify that Web storage is indeed used in the outlined, insecure<br />
fashion, via a large-scale study of the top 500.000 Alexa domains.<br />
Furthermore, we propose a lightweight integrity protecting mechanism<br />
that allows developers to store markup and code fragments in Web<br />
storage without risking a potential compromise. Our protection approach<br />
can be introduced without requiring browser modifications and<br />
introduces only negligible performance overhead.<br />
<br />
<br> <br />
<br />
=== Michael Spreitzenbarth: The Dark Side of Android Applications ===<br />
<br />
It is now well-known that, for various reasons, Android has<br />
become the leading OS for smartphones with more than 50% of worldwide<br />
market share within only a few years. This fast growth rate also has an<br />
evil side. Android brought backdoors and trojans to the yet spared<br />
Linux world with growth rates of over 3,000% in the last half of 2011<br />
and about 15,000 newly discovered malicious applications in the second<br />
quarter of 2012.<br />
<br />
These malicious apps are only seldomly obfuscated and very basic in<br />
their functionality. In this presentation, we will give a short<br />
overview of the existing malware families and their main<br />
functionalities. As an example, we will present the results of reverse<br />
engineering a paradigmatic malware sample of the FakeRegSMS family.<br />
This sample was chosen because it tries to implement the first very<br />
simple approaches of obfuscation and behavior hiding.<br />
<br />
Afterwards, we will show how actual malware detection systems are<br />
working. In this step we will concentrate on, often self-written,<br />
static detection modules. The detection mainly relais on the<br />
combination of permissions, receivers and API calls. Some of these<br />
systems also try to detect if an application is under- or<br />
over-privileged by comparing the API calls and the requested<br />
permissions. The well known systems (MobileSandbox and Andrubis) use a<br />
dynamic analysis with TaintDroid/DroidBox as an additional step. These<br />
systems perform taint-analysis and monitor sensitive data throughout<br />
the complete data-flow of the application. With this functionality it<br />
is possible to detect which sensitive data is leaving the device. With<br />
the knowledge we gained in this step, we will then discuss why<br />
developers should take care of permissions and ad-networks they use<br />
within their applications.<br />
<br />
Especially ad-networks are a reason why benign apps are detected as<br />
malicious with an increasing frequency. This happens because this<br />
networks often send sensitive user data like unique identifiers (IMEI,<br />
IMSI, etc.) and sometimes even stored contact and calendar entries over<br />
the Internet. One of the most aggressive ad-networks is mobclix, which<br />
tries to get access to stored account data, location of the user and<br />
even tries to get write access to contacts and calendar. The well known<br />
ad-library mOcean is even able to send SMS messages and start phone<br />
calls without user interaction and notice.<br />
<br />
We conclude with discussing the following questions: How do you get<br />
infected? What was the main goal of malware authors in recent malicious<br />
applications? And finally, how does the future of malware look like?<br />
<br />
<br> <br />
<br />
=== Florian Stahl: Privacy by Design am Beispiel Facebook ===<br />
<br />
Der Vorschlag für die Überarbeitung der Anfang des Jahres publizierten<br />
europäischen Datenschutzrichtlinie sieht vor das Konzept „Privacy by<br />
Design“ (PbD) verpflichtend zu machen. Dies wird auch bei der<br />
Entwicklung von Webanwendungen zu neuen Anforderungen führen, wenn<br />
diese personenbezogene Daten verarbeiten. Bisher wird Privacy by Design<br />
selten konsequent berücksichtigt, da Datenschutz kaum als explizite<br />
Anforderung im Pflichtenheft auftaucht und vielen Projektleitern und<br />
Softwareentwicklern die Kenntnisse in dem Bereich fehlen. Deshalb<br />
werden in<br />
diesem Vortrag die zukünftig erforderlichen Grundlagen von Privacy by<br />
Design erläutert und Beispiele geliefert, die sich bei der Entwicklung<br />
von Webapplikationen in der Praxis bewährt haben. Dabei werden auch die<br />
sieben Prinzipien von Privacy by Design nach Ann Cavoukian (kanadische<br />
Mitgründerin des Konzepts) vorgestellt. <br />
<br />
Neben dem<br />
datenschutzfreundlichen Design von Produkten<br />
bzw. Applikationen z.B. durch Anonymisierung, Verschlüsselung und<br />
Datensparsamkeit gelten u.A.Transparenz, Datenschutz als<br />
Standard-Einstellung (Default) und der Schutz von Daten im kompletten<br />
Lebenszyklus als zentrale Aspekte von Privacy by Design. Die Vorgaben<br />
gelten aber nicht nur für die Applikation selbst, sondern auch für die<br />
Prozesse rund um die Entwicklung und den Transfer von Daten z.B.<br />
während der Migration. <br />
<br />
Für existierende Webanwendungen sollte nach der<br />
für 2014 geplanten Einführung der neuen Richtlinie ein "Privacy by<br />
Redesign" in Erwägung gezogen werden, um fehlende Datenschutz-Maßnahmen<br />
nachträglich zu implementieren. Ein derartiges Vorgehen wird im Vortrag<br />
am Beispiel des sozialen Netzwerks Facebook vorgestellt, das in der<br />
Vergangenheit durch seinen umstrittenen Umgang mit den Daten seiner<br />
Nutzer aufgefallen ist. Es wird untersucht, ob und wie man das soziale<br />
Netzwerk konform zum Konzept Privacy by Design machen könnte, denn die<br />
neuen europäischen Datenschutzvorgaben sollen auch für<br />
nicht-europäische Unternehmen gelten, wenn sie Daten von EU-Bürgern<br />
speichern oder verarbeiten.<br />
<br />
<br> <br />
<br />
=== Bastian Braun, Patrick Gemein and Hans Reiser: Der Weg ist das Ziel - Kontrollfluss-Integrität in Web-Applikationen sichern ===<br />
<br />
Moderne Web-Applikationen implementieren häufig komplexe<br />
Kontrollflüsse, die erfordern, dass die Benutzer ihre Aktionen in einer<br />
bestimmten Reihenfolge ausführen. Die Benutzer interagieren mit<br />
Web-Applikationen durch das Senden von HTTP-Anfragen (requests) mit<br />
Parametern und den Empfang von Antworten (responses), die Verweise<br />
(hyperlinks) enthalten und dadurch die nächsten Schritte bestimmen.<br />
Falls eine Web-Applikation darauf vertraut, dass Benutzer nur den in<br />
ihre Webseiten eingebundenen Verweisen folgen, können bösartige<br />
Benutzer Anfragen generieren, die auf Seiten des Betreibers der<br />
Web-Applikation Schaden anrichten.<br />
<br />
Analysen von Angriffen mit Benutzer-generierten Anfragen auf<br />
Web-Applikationen zeigen, dass die Ursache in der fehlenden<br />
Kontrollfluss-Definition und –Durchsetzung auf Serverseite zu finden<br />
ist. Unter anderem hat sich herausgestellt, dass die verwendeten<br />
Parameter ein wichtiger Aspekt der Wirkung von Anfragen sind. Darauf<br />
aufbauend haben wir einen Kontrollfluss-Monitor entwickelt, der sowohl<br />
bei existierenden als auch bei neu zu entwickelnden Web-Applikationen<br />
angewendet werden kann. Er wird über eine Kontrollfluss-Definition<br />
konfiguriert und garantiert der geschützten Web-Applikation, dass<br />
ausschließlich die definierten Anfrage-Sequenzen und erwartete<br />
Parameter von der Web-Applikation verarbeitet werden müssen. <br />
<br />
Der<br />
implementierte Kontrollfluss-Monitor verhindert Race Conditions, eine<br />
besondere Form von Angriffen auf die Kontrollfluss-Integrität von<br />
Web-Applikationen. Darüber hinaus unterstützt er aktuelle<br />
Browser-Features wie Multitabbing und die Verwendung des<br />
"Zurück"-Knopfes. Die Evaluierung ergab, dass der Kontrollfluss-Monitor<br />
einen erträglichen Overhead verursacht.<br />
<br />
<br> <br />
<br />
=== Marcus Niemietz: UI-Redressing-Angriffe auf Android ===<br />
<br />
Bereits im Jahr 2002 war der Security-Community intuitiv klar, dass<br />
transparente Elemente innerhalb eines Webbrowsers eine Gefahr für den<br />
Benutzer darstellen. Dies resultierte unmittelbar aus der Überlegung,<br />
dass ein Opfer auf ein Element wie eine Schaltfläche klicken kann, ohne<br />
zu sehen das ein Klick auf diese Schaltfläche erfolgt. Das daraus<br />
abgeleitete Verfahren wurde im Jahr 2008 neu aufgegriffen und mit dem<br />
Begriff Clickjacking bezeichnet. Dabei hatte ein Angreifer die<br />
Möglichkeit einen automatischen Zugriff auf die Kamera sowie das<br />
Mikrofon eines Opfers (ohne dessen Wissen) zu erhalten. Seit dem Jahr<br />
2008 hat sich eine Vielfalt von auf Clickjacking basierenden Angriffen<br />
gebildet, die heutzutage unter der Angriffsmenge des UI-Redressing<br />
fallen.<br />
In diesem Vortrag wird gezeigt, welche UI-Redressing-Angriffe und<br />
Gegenmaßnahmen sich auf das Betriebssystem Android übertragen lassen.<br />
Dabei wird ein Schwerpunkt auf Clickjacking ähnliche Angriffsmethoden<br />
(Tapjacking) gelegt, die keinen Webbrowser benötigen. Ein Angreifer<br />
kann daher mit einer Applikation, die bspw. keine Rechte zum<br />
telefonieren hat, mit nur einer Touch-Geste eine beliebige und vom<br />
Angreifer definierte Telefonnummer ungewollt anrufen.<br />
<br />
<br><br />
<br />
=== ''Closing Note'': Angela Sasse — Making systems secure and usable - what can software developers do ===<br />
<br />
<br></div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012/Programm&diff=134776German OWASP Day 2012/Programm2012-08-27T07:42:44Z<p>Ingo Hanke: </p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]<br />
<br />
<br />
<font size="+2">Bereits bestätigte Vorträge des German OWASP Day 2012</font><br />
<br />
<br />
== Abstracts ==<br />
<br />
=== OWASP Introduction: Jim Manico, co-presented by Jerry Hoff ===<br />
<br />
What's new in OWASP and why OWASP is interesting also for you or your company.<br />
<br />
<br />
=== [Keynote] Volkmar Lotz: '''Security-Ausbildung in einem Grossunternehmen der Softwareindustrie - Erfahrungen und Herausforderungen''' ===<br />
<br />
Obwohl eine Vielzahl potentieller Web-Application-Schwachstellen<br />
durch geeignete Technologie-Frameworks adressiert werden können,<br />
ist eine fundierte Ausbildung der Software-Entwickler im Bereich der<br />
IT-Sicherheit immer noch die wichtigste Grundlage für die Entwicklung<br />
sicherer Software und Systeme. Die Industrie kann sich dabei nicht<br />
auf die universitäre Ausbildung verlassen, da Security-Themen noch <br />
nicht durchgänging Eingang in die Curricula gefunden haben oder die <br />
Ausbildungsinhalte wenig pragmatische Hilfestellung für die tägliche <br />
Entwicklungsarbeit bieten.<br />
<br />
SAP hat sich daher entschieden, eigene Trainingskonzepte und -inhalte<br />
zu erstellen und systematisch an die globale Entwickler-Community<br />
auszurollen. Im Laufe des Jahres 2011 wurden mehr als 16000 Mitarbeiter<br />
in entwicklungsbezogenen Rollen (Software-Entwickler, Architekten, <br />
Produktmanager) zu Themen der sicheren Programmierung ausgebildet. Wir <br />
berichten in diesem Beitrag über die Herausforderungen und Erfahrungen,<br />
die sich bei einer solch grossen Zielgruppe mit unterschiedlichen <br />
Erfahrungshorizonten ergeben haben. Eine besondere Bedeutung kommt der<br />
Nachhaltigkeit der Ausbildung zu, weshalb SAP grosse Aufmerksamkeit <br />
auf systematische Aktualisierung der Inhalte und die Motivation<br />
für Folge- und Wiederholungstrainings unter Verwendung moderner <br />
interaktiver Lernformen und Gamification legt.<br />
<br />
<br />
=== Simon Bennetts: '''OWASP Zed Attack Proxy''' ===<br />
<br />
The OWASP Zed Attack Proxy (ZAP) is an easy to use integrated penetration<br />
testing tool for finding vulnerabilities in web applications.<br />
It is a community project, being maintained by a worldwide group of<br />
volunteers and is completely free, open source and cross platform.<br />
Since its release in 2010 ZAP has gone from strength to strength and is now<br />
a flagship OWASP project.<br />
<br />
Simon (the ZAP project lead) will:<br />
<br />
* Introduce ZAP to those who have not encountered it before<br />
* Detail the new features in the most recent releases<br />
* Explain the 3 ZAP related Google Summer of Code projects<br />
* Talk about the future plans<br />
<br />
<br />
=== Dr. Mario Heiderich: '''XSS von 1999 bis 2013 - Die Doctrine Classique der Websicherheit''' ===<br />
<br />
Cross-Site Scripting Angriffe wurden erstmals vor circa 14 Jahren<br />
dokumentiert. Seitdem hat diese Angriffstechnik eine Evolution<br />
durchzogen, die klassischen Dramentheorie ähnelt - inklusive<br />
Katastase, Heldentum und Peripetie.<br />
<br />
Nun hält HTML Einzug in die Welt der Betriebssysteme, und das Drama<br />
XSS befindet sich an der Baumgrenze zur Katastrophe - der harmlose<br />
"Alert" hat sich zum schwarzen Schwan beliebiger Code-Ausführung im<br />
Betriebssystem gewandelt.<br />
<br />
Dieser Vortrag zeigt die Evolution der Angriffstechnik XSS, untersucht<br />
unser aller Fehler in der bisherig angewandten Bekämpfung, bietet<br />
konsequente Ausblicke und schließt mit Denkanstößen für das Jahr 2013<br />
und fortfolgend.<br />
<br />
<br />
=== Jim Manico: '''Top Ten Web Defenses''' ===<br />
<br />
We cannot hack or firewall our way secure. Application programmers need<br />
to learn to code in a secure fashion if we have any chance of providing<br />
organizations with proper defenses in the current threatscape. This talk<br />
will discuss the 10 most important security-centric computer programming<br />
techniques necessary to build low-risk web-based applications. This talk<br />
is best suited for technical web application development professionals<br />
at any stage of the software development lifecycle.<br />
<br />
<br />
== Sprecher ==<br />
<br />
=== Simon Bennetts ===<br />
<br />
(a.k.a. Psiinon) has been developing web applications since<br />
1997, and strongly believes that you cannot build secure web applications<br />
without knowing how to attack them.<br />
He works for Mozilla as part of their Security Team.<br />
<br />
Some of the projects Simon works on:<br />
*OWASP Zed Attack Proxy project lead<br />
*OWASP Data Exchange Format project lead<br />
*Bodge It Store project lead<br />
*OWASP AppSensor contributor<br />
*wavsep contributor<br />
'Penetration Testing for Developers' blog author<br />
<br />
He is also one of the chapter leaders for the OWASP Manchester chapter.<br />
<br />
Simon has a B.Sc in Computing and Information Systems from Manchester<br />
University.<br />
<br />
<br />
=== Dr. Mario Heiderich ===<br />
<br />
arbeitet als Forscher für die Ruhr-Universität in<br />
Bochum, findet Lücken im IE und anderen Tools für Microsoft in Redmond<br />
und arbeitet im wesentlichen im Bereich HTML5- und SVG- und<br />
Browser-Sicherheit. <br />
<br />
Mario glaubt allen ernstes, man könne XSS mittels<br />
JavaScript verhindern und besiegen, schrieb darüber eine Dissertation<br />
und hat auch sonst eher wunderliche Ansichten. <br />
<br />
In der verbleibenden<br />
Zeit pen-testet und berät Mario diverse DAX-Unternehmen, spricht auf<br />
internationalen Konferenzen und hat irrationale Freude am Finden von<br />
Bugs und Designfehlern.<br />
<br />
<br />
=== Volkmar Lotz ===<br />
<br />
Volkmar Lotz has more than 20 years experience in industrial research on Security and Software Engineering. He is heading the Security & Trust practice of SAP Research, a group of 40+ researchers investigating into applied research and innovative security solutions for modern software platforms, networked enterprises and Future Internet applications. The Security & Trust practice defines and executes SAP's security research agenda in alignment with SAP's business strategy and global research trends. <br />
<br />
Volkmar’s current research interests include Business Process Security, Service Security, Authorisation, Security Engineering, Formal Methods and Compliance. Volkmar has published numerous scientific papers in his area of interest and is regularly serving on Programme Committees of internationally renowned conferences. He has been supervising various European projects, including large-scale integrated projects. Volkmar holds a diploma in Computer Science from the University of Kaiserslautern.<br />
<br />
<br />
=== Jim Manico ===<br />
<br />
is the VP of Security Architecture for WhiteHat<br />
Security. Jim is also the host of the OWASP Podcast Series, is the<br />
committee chair of the OWASP Connections Committee, is the project<br />
manager of the OWASP Cheatsheet series, and is a significant contributor<br />
to several additional OWASP projects. Jim provides secure coding and<br />
developer awareness training for WhiteHat Security using his 8+ years of<br />
experience delivering developer-training courses for SANS, Aspect<br />
Security and others. He brings 16 years of database-driven Web software<br />
development and analysis experience to WhiteHat and OWASP as well. Jim<br />
works on the beautiful island of Kauai, Hawaii where he lives with his<br />
wife Tracey.</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012/Programm&diff=134775German OWASP Day 2012/Programm2012-08-27T07:40:11Z<p>Ingo Hanke: </p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]<br />
<br />
<br />
<font size="+2">Bereits bestätigte Vorträge des German OWASP Day 2012</font><br />
<br />
<br />
== Abstracts ==<br />
<br />
=== OWASP Introduction: Jim Manico, co-presented by Jerry Hoff ===<br />
<br />
What's new in OWASP and why OWASP is interesting also for you or your company.<br />
<br />
<br />
=== [Keynote] Volkmar Lotz: '''Security-Ausbildung in einem Grossunternehmen der Softwareindustrie - Erfahrungen und Herausforderungen''' ===<br />
<br />
Obwohl eine Vielzahl potentieller Web-Application-Schwachstellen<br />
durch geeignete Technologie-Frameworks adressiert werden können,<br />
ist eine fundierte Ausbildung der Software-Entwickler im Bereich der<br />
IT-Sicherheit immer noch die wichtigste Grundlage für die Entwicklung<br />
sicherer Software und Systeme. Die Industrie kann sich dabei nicht<br />
auf die universitäre Ausbildung verlassen, da Security-Themen noch <br />
nicht durchgänging Eingang in die Curricula gefunden haben oder die <br />
Ausbildungsinhalte wenig pragmatische Hilfestellung für die tägliche <br />
Entwicklungsarbeit bieten.<br />
<br />
SAP hat sich daher entschieden, eigene Trainingskonzepte und -inhalte<br />
zu erstellen und systematisch an die globale Entwickler-Community<br />
auszurollen. Im Laufe des Jahres 2011 wurden mehr als 16000 Mitarbeiter<br />
in entwicklungsbezogenen Rollen (Software-Entwickler, Architekten, <br />
Produktmanager) zu Themen der sicheren Programmierung ausgebildet. Wir <br />
berichten in diesem Beitrag über die Herausforderungen und Erfahrungen,<br />
die sich bei einer solch grossen Zielgruppe mit unterschiedlichen <br />
Erfahrungshorizonten ergeben haben. Eine besondere Bedeutung kommt der<br />
Nachhaltigkeit der Ausbildung zu, weshalb SAP grosse Aufmerksamkeit <br />
auf systematische Aktualisierung der Inhalte und die Motivation<br />
für Folge- und Wiederholungstrainings unter Verwendung moderner <br />
interaktiver Lernformen und Gamification legt.<br />
<br />
<br />
=== Simon Bennetts: '''OWASP Zed Attack Proxy''' ===<br />
<br />
The OWASP Zed Attack Proxy (ZAP) is an easy to use integrated penetration<br />
testing tool for finding vulnerabilities in web applications.<br />
It is a community project, being maintained by a worldwide group of<br />
volunteers and is completely free, open source and cross platform.<br />
Since its release in 2010 ZAP has gone from strength to strength and is now<br />
a flagship OWASP project.<br />
<br />
Simon (the ZAP project lead) will:<br />
<br />
* Introduce ZAP to those who have not encountered it before<br />
* Detail the new features in the most recent releases<br />
* Explain the 3 ZAP related Google Summer of Code projects<br />
* Talk about the future plans<br />
<br />
<br />
=== Dr. Mario Heiderich: '''XSS von 1999 bis 2013 - Die Doctrine Classique der Websicherheit''' ===<br />
<br />
Cross-Site Scripting Angriffe wurden erstmals vor circa 14 Jahren<br />
dokumentiert. Seitdem hat diese Angriffstechnik eine Evolution<br />
durchzogen, die klassischen Dramentheorie ähnelt - inklusive<br />
Katastase, Heldentum und Peripetie.<br />
<br />
Nun hält HTML Einzug in die Welt der Betriebssysteme, und das Drama<br />
XSS befindet sich an der Baumgrenze zur Katastrophe - der harmlose<br />
"Alert" hat sich zum schwarzen Schwan beliebiger Code-Ausführung im<br />
Betriebssystem gewandelt.<br />
<br />
Dieser Vortrag zeigt die Evolution der Angriffstechnik XSS, untersucht<br />
unser aller Fehler in der bisherig angewandten Bekämpfung, bietet<br />
konsequente Ausblicke und schließt mit Denkanstößen für das Jahr 2013<br />
und fortfolgend.<br />
<br />
<br />
=== Jim Manico: '''Top Ten Web Defenses''' ===<br />
<br />
We cannot hack or firewall our way secure. Application programmers need<br />
to learn to code in a secure fashion if we have any chance of providing<br />
organizations with proper defenses in the current threatscape. This talk<br />
will discuss the 10 most important security-centric computer programming<br />
techniques necessary to build low-risk web-based applications. This talk<br />
is best suited for technical web application development professionals<br />
at any stage of the software development lifecycle.<br />
<br />
<br />
== Sprecher ==<br />
<br />
=== Simon Bennetts ===<br />
<br />
(a.k.a. Psiinon) has been developing web applications since<br />
1997, and strongly believes that you cannot build secure web applications<br />
without knowing how to attack them.<br />
He works for Mozilla as part of their Security Team.<br />
<br />
Some of the projects Simon works on:<br />
*OWASP Zed Attack Proxy project lead<br />
*OWASP Data Exchange Format project lead<br />
*Bodge It Store project lead<br />
*OWASP AppSensor contributor<br />
*wavsep contributor<br />
'Penetration Testing for Developers' blog author<br />
<br />
He is also one of the chapter leaders for the OWASP Manchester chapter.<br />
<br />
Simon has a B.Sc in Computing and Information Systems from Manchester<br />
University.<br />
<br />
<br />
=== Dr. Mario Heiderich ===<br />
<br />
arbeitet als Forscher für die Ruhr-Universität in<br />
Bochum, findet Lücken im IE und anderen Tools für Microsoft in Redmond<br />
und arbeitet im wesentlichen im Bereich HTML5- und SVG- und<br />
Browser-Sicherheit. <br />
<br />
Mario glaubt allen ernstes, man könne XSS mittels<br />
JavaScript verhindern und besiegen, schrieb darüber eine Dissertation<br />
und hat auch sonst eher wunderliche Ansichten. <br />
<br />
In der verbleibenden<br />
Zeit pen-testet und berät Mario diverse DAX-Unternehmen, spricht auf<br />
internationalen Konferenzen und hat irrationale Freude am Finden von<br />
Bugs und Designfehlern.<br />
<br />
<br />
=== Jim Manico ===<br />
<br />
is the VP of Security Architecture for WhiteHat<br />
Security. Jim is also the host of the OWASP Podcast Series, is the<br />
committee chair of the OWASP Connections Committee, is the project<br />
manager of the OWASP Cheatsheet series, and is a significant contributor<br />
to several additional OWASP projects. Jim provides secure coding and<br />
developer awareness training for WhiteHat Security using his 8+ years of<br />
experience delivering developer-training courses for SANS, Aspect<br />
Security and others. He brings 16 years of database-driven Web software<br />
development and analysis experience to WhiteHat and OWASP as well. Jim<br />
works on the beautiful island of Kauai, Hawaii where he lives with his<br />
wife Tracey.</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012/Programm&diff=134774German OWASP Day 2012/Programm2012-08-27T07:39:06Z<p>Ingo Hanke: </p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]<br />
<br />
<br />
<font size="+2">Bereits bestätigte Vorträge des German OWASP Day 2012</font><br />
<br />
<br />
== Abstracts ==<br />
<br />
=== OWASP Introduction: Jim Manico, co-presented by Jerry Hoff ===<br />
<br />
What's new in OWASP and why OWASP is interesting also for you or your company.<br />
<br />
<br />
=== [Keynote] Dr. Mario Heiderich: '''Security-Ausbildung in einem Grossunternehmen der Softwareindustrie - Erfahrungen und Herausforderungen''' ===<br />
<br />
Obwohl eine Vielzahl potentieller Web-Application-Schwachstellen<br />
durch geeignete Technologie-Frameworks adressiert werden können,<br />
ist eine fundierte Ausbildung der Software-Entwickler im Bereich der<br />
IT-Sicherheit immer noch die wichtigste Grundlage für die Entwicklung<br />
sicherer Software und Systeme. Die Industrie kann sich dabei nicht<br />
auf die universitäre Ausbildung verlassen, da Security-Themen noch <br />
nicht durchgänging Eingang in die Curricula gefunden haben oder die <br />
Ausbildungsinhalte wenig pragmatische Hilfestellung für die tägliche <br />
Entwicklungsarbeit bieten.<br />
<br />
SAP hat sich daher entschieden, eigene Trainingskonzepte und -inhalte<br />
zu erstellen und systematisch an die globale Entwickler-Community<br />
auszurollen. Im Laufe des Jahres 2011 wurden mehr als 16000 Mitarbeiter<br />
in entwicklungsbezogenen Rollen (Software-Entwickler, Architekten, <br />
Produktmanager) zu Themen der sicheren Programmierung ausgebildet. Wir <br />
berichten in diesem Beitrag über die Herausforderungen und Erfahrungen,<br />
die sich bei einer solch grossen Zielgruppe mit unterschiedlichen <br />
Erfahrungshorizonten ergeben haben. Eine besondere Bedeutung kommt der<br />
Nachhaltigkeit der Ausbildung zu, weshalb SAP grosse Aufmerksamkeit <br />
auf systematische Aktualisierung der Inhalte und die Motivation<br />
für Folge- und Wiederholungstrainings unter Verwendung moderner <br />
interaktiver Lernformen und Gamification legt.<br />
<br />
<br />
=== Simon Bennetts: '''OWASP Zed Attack Proxy''' ===<br />
<br />
The OWASP Zed Attack Proxy (ZAP) is an easy to use integrated penetration<br />
testing tool for finding vulnerabilities in web applications.<br />
It is a community project, being maintained by a worldwide group of<br />
volunteers and is completely free, open source and cross platform.<br />
Since its release in 2010 ZAP has gone from strength to strength and is now<br />
a flagship OWASP project.<br />
<br />
Simon (the ZAP project lead) will:<br />
<br />
* Introduce ZAP to those who have not encountered it before<br />
* Detail the new features in the most recent releases<br />
* Explain the 3 ZAP related Google Summer of Code projects<br />
* Talk about the future plans<br />
<br />
<br />
=== Dr. Mario Heiderich: '''XSS von 1999 bis 2013 - Die Doctrine Classique der Websicherheit''' ===<br />
<br />
Cross-Site Scripting Angriffe wurden erstmals vor circa 14 Jahren<br />
dokumentiert. Seitdem hat diese Angriffstechnik eine Evolution<br />
durchzogen, die klassischen Dramentheorie ähnelt - inklusive<br />
Katastase, Heldentum und Peripetie.<br />
<br />
Nun hält HTML Einzug in die Welt der Betriebssysteme, und das Drama<br />
XSS befindet sich an der Baumgrenze zur Katastrophe - der harmlose<br />
"Alert" hat sich zum schwarzen Schwan beliebiger Code-Ausführung im<br />
Betriebssystem gewandelt.<br />
<br />
Dieser Vortrag zeigt die Evolution der Angriffstechnik XSS, untersucht<br />
unser aller Fehler in der bisherig angewandten Bekämpfung, bietet<br />
konsequente Ausblicke und schließt mit Denkanstößen für das Jahr 2013<br />
und fortfolgend.<br />
<br />
<br />
=== Jim Manico: '''Top Ten Web Defenses''' ===<br />
<br />
We cannot hack or firewall our way secure. Application programmers need<br />
to learn to code in a secure fashion if we have any chance of providing<br />
organizations with proper defenses in the current threatscape. This talk<br />
will discuss the 10 most important security-centric computer programming<br />
techniques necessary to build low-risk web-based applications. This talk<br />
is best suited for technical web application development professionals<br />
at any stage of the software development lifecycle.<br />
<br />
<br />
== Sprecher ==<br />
<br />
=== Simon Bennetts ===<br />
<br />
(a.k.a. Psiinon) has been developing web applications since<br />
1997, and strongly believes that you cannot build secure web applications<br />
without knowing how to attack them.<br />
He works for Mozilla as part of their Security Team.<br />
<br />
Some of the projects Simon works on:<br />
*OWASP Zed Attack Proxy project lead<br />
*OWASP Data Exchange Format project lead<br />
*Bodge It Store project lead<br />
*OWASP AppSensor contributor<br />
*wavsep contributor<br />
'Penetration Testing for Developers' blog author<br />
<br />
He is also one of the chapter leaders for the OWASP Manchester chapter.<br />
<br />
Simon has a B.Sc in Computing and Information Systems from Manchester<br />
University.<br />
<br />
<br />
=== Dr. Mario Heiderich ===<br />
<br />
arbeitet als Forscher für die Ruhr-Universität in<br />
Bochum, findet Lücken im IE und anderen Tools für Microsoft in Redmond<br />
und arbeitet im wesentlichen im Bereich HTML5- und SVG- und<br />
Browser-Sicherheit. <br />
<br />
Mario glaubt allen ernstes, man könne XSS mittels<br />
JavaScript verhindern und besiegen, schrieb darüber eine Dissertation<br />
und hat auch sonst eher wunderliche Ansichten. <br />
<br />
In der verbleibenden<br />
Zeit pen-testet und berät Mario diverse DAX-Unternehmen, spricht auf<br />
internationalen Konferenzen und hat irrationale Freude am Finden von<br />
Bugs und Designfehlern.<br />
<br />
<br />
=== Jim Manico ===<br />
<br />
is the VP of Security Architecture for WhiteHat<br />
Security. Jim is also the host of the OWASP Podcast Series, is the<br />
committee chair of the OWASP Connections Committee, is the project<br />
manager of the OWASP Cheatsheet series, and is a significant contributor<br />
to several additional OWASP projects. Jim provides secure coding and<br />
developer awareness training for WhiteHat Security using his 8+ years of<br />
experience delivering developer-training courses for SANS, Aspect<br />
Security and others. He brings 16 years of database-driven Web software<br />
development and analysis experience to WhiteHat and OWASP as well. Jim<br />
works on the beautiful island of Kauai, Hawaii where he lives with his<br />
wife Tracey.</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=File:Logo-infrasec-1.jpg&diff=134570File:Logo-infrasec-1.jpg2012-08-21T08:50:21Z<p>Ingo Hanke: Infrasec AG</p>
<hr />
<div>Infrasec AG</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012&diff=134569German OWASP Day 20122012-08-21T08:49:47Z<p>Ingo Hanke: </p>
<hr />
<div>__TOC__<br />
<br />
[[Image:2012_owasp_day_w_480px.png|center|Logo 5th German OWASP Day]]<br />
<br />
<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center> <br />
<br> <br />
<br />
== German OWASP Day 2012 ==<br />
<br />
<span style="font-size:150%"><br />
An dem überaus erfolgreich verlaufenden OWASP Day [https://www.owasp.org/index.php/German_OWASP_Day_2011 2011] wollen wir 2012 anknüpfen. Wir freuen uns auf zahlreiche spannende Einreichungen für die fünfte Inkarnation unserer Konferenz.<br />
</span><br />
<br />
<br />
=== Wann + Wo ===<br />
Mittwoch, den 7.11.2012, ab 9:00 bis zirka 18:00 Uhr<br />
<br />
Hotel [http://www.dolcemunich.com/ Dolce Munich Unterschleissheim] (Andreas-Danzer-Weg 1, 85716 Unterschleißheim)<br />
<br />
Die Vorabendveranstaltung wird im Augustiner Bräu München ab 19:30 Uhr stattfinden.<br />
<br />
<br />
== CfP und Speaker Agreement ==<br />
<br />
Das Programmkomitee freut sich wieder auf zahlreiche und spannende Beiträge zum OWASP Day 2012. Fachliche Details, Deadlines und mehr sind dem <br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/CfP|CfP]]</span> zu entnehmen.<br />
<br />
'''Submission Deadline: 15. August 2012.'''<br />
<br />
<br />
== Programm ==<br />
<br />
Wir haben bereits Zusagen renommierter <span style="text-decoration: underline">[[German_OWASP_Day_2012/Programm|Invited Speaker]]</span>.<br />
<br />
<br />
== Sponsoren ==<br />
<br />
Auch dieses Jahr gibt es wieder die Möglichkeit für interessierte Firmen, Ihren Support für das Open Web Application Security Project zu zeigen und sich in verschiedenen Formen während des OWASP Days 2012 zu präsentieren. Details haben wir auf einer<br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/Sponsoren|separaten Seite]]</span> zusammengestellt.<br />
<br />
<br />
== Übernachtungen/Anreise ==<br />
<br />
Für alle, die nicht aus München kommen, gibt es <span style="text-decoration: underline">[[German_OWASP_Day_2012/Lokales|hier]]</span> weitere Infos wie Abrufkontingente und ein paar lokale Informationen.<br />
<br />
<br />
== Eintrittspreise ==<br />
<br />
Die Eintrittspreise werden in Kürze bekanntgegeben. <br />
<!-- <br />
Für den OWASP German Day 2012 gelten folgenden Preise (inkl. gesetzl. MwSt.): <br />
<br />
*Nicht-Mitglieder Early Bird: 260,00 €<br />
*Nicht-Mitglieder: 330,00 €<br />
*Mitglieder Early Bird: 220,00 €<br />
*Mitglieder: 260,00 €<br />
*Studenten: 70,00 €.<br />
<br />
(*) Eine Registrierung zu Early-Bird-Preisen ist bis zum XX.10.2012 möglich <br />
<br />
(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen. <br />
<br />
<br><br />
<br />
---><br />
== Anmeldung ==<br />
<br />
Die Anmeldeseite wird in Kürze freigeschalten.<br />
<!--<br />
Bitte melden Sie sich für die Konferenz und die Vorabendveranstaltung auf der Anmeldungseite an. <br />
--><br />
== Wir danken unseren Sponsoren ==<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:8em" | Platin<br />
|-<br />
| [[Image:Optimabit logo 692.33p.jpg|left|228x51px|link=http://www.optimabit.com/|www.optimabit.com]]<br />
|}<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Gold <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Silber <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Bronze<br />
|-<br />
| [[Image:Sicsec-130x39.png|left|link=http://www.sicsec.de/|www.sicsec.de]] <br />
| [[Image:Isseco_logo_224x84.gif|left|link=http://www.isseco.org/|www.isseco.org]]<br />
| [[Image:TC-Logo-mit-Firmennamen-RGB.gif|left|link=http://www.tele-consulting.com|www.tele-consulting.com]]<br />
|-<br />
| [[Image:Schutzwerk-300x29.png|left|link=http://www.schutzwerk.de|www.schutzwerk.de]] <br />
|<br />
|<br />
|-<br />
| [[Image:SecureNet-Logo-240x56.png|left|link=http://www.securenet.de|www.securenet.de]] <br />
|<br />
|<br />
|-<br />
| [[Image:denyall.jpg|left|link=http://www.denyall.com|www.denyall.com]] <br />
|<br />
|<br />
|-<br />
| [[Image:logo-infrasec-1.jpg|left|link=http://www.infrasec-ag.de|www.infrasec-ag.de]]<br />
|<br />
|<br />
|}<br />
<br />
== Organisation ==<br />
<br />
*Birgit Bernskötter (Extern) <br />
<br />
*Hartwig Gelhausen<br />
*[[User:Ingo Hanke|Ingo Hanke]]<br />
*[[User:Achim|Achim Hoffmann]] (Board Member) <br />
*Martin Johns (Board Member)<br />
*[[User:Bruce Sams|Bruce Sams]] (Board Member) <br />
*[[User:Dr. Emin Tatlı|Emin Tatlı]] (Board Member)<br />
*[[User:Dirk Wetter|Dirk Wetter]] (Board Member)<br />
<br />
== Hash tag ==<br />
<br />
[https://twitter.com/#!/search/%23owasp_d2012 #owasp_d2012] <br />
<br />
<br> <headertabs /> <!-- this will sort under capital O<br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2011]]<br />
--> <br />
<br />
<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2012 <top>] <br />
<br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=File:Denyall.jpg&diff=134023File:Denyall.jpg2012-08-08T12:05:13Z<p>Ingo Hanke: Logo Deny All</p>
<hr />
<div>Logo Deny All</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012&diff=134022German OWASP Day 20122012-08-08T12:04:37Z<p>Ingo Hanke: </p>
<hr />
<div>__TOC__<br />
<br />
[[Image:2012_owasp_day_w_480px.png|center|Logo 5th German OWASP Day]]<br />
<br />
<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center> <br />
<br> <br />
<br />
== German OWASP Day 2012 ==<br />
<br />
<span style="font-size:150%"><br />
An dem überaus erfolgreich verlaufenden OWASP Day [https://www.owasp.org/index.php/German_OWASP_Day_2011 2011] wollen wir 2012 anknüpfen. Wir freuen uns auf zahlreiche spannende Einreichungen für die fünfte Inkarnation unserer Konferenz.<br />
</span><br />
<br />
<br />
=== Wann + Wo ===<br />
Mittwoch, den 7.11.2012, ab 9:00 bis zirka 18:00 Uhr<br />
<br />
Hotel [http://www.dolcemunich.com/ Dolce Munich Unterschleissheim] (Andreas-Danzer-Weg 1, 85716 Unterschleißheim)<br />
<br />
Die Vorabendveranstaltung wird im Augustiner Bräu München ab 19:30 Uhr stattfinden.<br />
<br />
<br />
== CfP und Speaker Agreement ==<br />
<br />
Das Programmkomitee freut sich wieder auf zahlreiche und spannende Beiträge zum OWASP Day 2012. Fachliche Details, Deadlines und mehr sind dem <br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/CfP|CfP]]</span> zu entnehmen.<br />
<br />
'''Submission Deadline: 15. August 2012.'''<br />
<br />
<br />
== Programm ==<br />
<br />
Wir haben bereits Zusagen renommierter <span style="text-decoration: underline">[[German_OWASP_Day_2012/Programm|Invited Speaker]]</span>.<br />
<br />
<br />
== Sponsoren ==<br />
<br />
Auch dieses Jahr gibt es wieder die Möglichkeit für interessierte Firmen, Ihren Support für das Open Web Application Security Project zu zeigen und sich in verschiedenen Formen während des OWASP Days 2012 zu präsentieren. Details haben wir auf einer<br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/Sponsoren|separaten Seite]]</span> zusammengestellt.<br />
<br />
<br />
== Übernachtungen/Anreise ==<br />
<br />
Für alle, die nicht aus München kommen, gibt es <span style="text-decoration: underline">[[German_OWASP_Day_2012/Lokales|hier]]</span> weitere Infos wie Abrufkontingente und ein paar lokale Informationen.<br />
<br />
<br />
== Eintrittspreise ==<br />
<br />
Die Eintrittspreise werden in Kürze bekanntgegeben. <br />
<!-- <br />
Für den OWASP German Day 2012 gelten folgenden Preise (inkl. gesetzl. MwSt.): <br />
<br />
*Nicht-Mitglieder Early Bird: 260,00 €<br />
*Nicht-Mitglieder: 330,00 €<br />
*Mitglieder Early Bird: 220,00 €<br />
*Mitglieder: 260,00 €<br />
*Studenten: 70,00 €.<br />
<br />
(*) Eine Registrierung zu Early-Bird-Preisen ist bis zum XX.10.2012 möglich <br />
<br />
(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen. <br />
<br />
<br><br />
<br />
---><br />
== Anmeldung ==<br />
<br />
Die Anmeldeseite wird in Kürze freigeschalten.<br />
<!--<br />
Bitte melden Sie sich für die Konferenz und die Vorabendveranstaltung auf der Anmeldungseite an. <br />
--><br />
== Wir danken unseren Sponsoren ==<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:8em" | Platin<br />
|-<br />
| [[Image:Optimabit logo 692.33p.jpg|left|228x51px|link=http://www.optimabit.com/|www.optimabit.com]]<br />
|}<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Gold <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Silber <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Bronze<br />
|-<br />
| [[Image:Sicsec-130x39.png|left|link=http://www.sicsec.de/|www.sicsec.de]] <br />
| [[Image:Isseco_logo_224x84.gif|left|link=http://www.isseco.org/|www.isseco.org]]<br />
| [[Image:TC-Logo-mit-Firmennamen-RGB.gif|left|link=http://www.tele-consulting.com|www.tele-consulting.com]]<br />
|-<br />
| [[Image:Schutzwerk-300x29.png|left|link=http://www.schutzwerk.de|www.schutzwerk.de]] <br />
|<br />
|<br />
|-<br />
| [[Image:SecureNet-Logo-240x56.png|left|link=http://www.securenet.de|www.securenet.de]] <br />
|<br />
|<br />
|-<br />
| [[Image:denyall.jpg|left|link=http://www.denyall.com|www.denyall.com]] <br />
|<br />
|<br />
|}<br />
<br />
== Organisation ==<br />
<br />
*Birgit Bernskötter (Extern) <br />
<br />
*Hartwig Gelhausen<br />
*[[User:Ingo Hanke|Ingo Hanke]]<br />
*[[User:Achim|Achim Hoffmann]] (Board Member) <br />
*Martin Johns (Board Member)<br />
*[[User:Bruce Sams|Bruce Sams]] (Board Member) <br />
*[[User:Dr. Emin Tatlı|Emin Tatlı]] (Board Member)<br />
*[[User:Dirk Wetter|Dirk Wetter]] (Board Member)<br />
<br />
== Hash tag ==<br />
<br />
[https://twitter.com/#!/search/%23owasp_d2012 #owasp_d2012] <br />
<br />
<br> <headertabs /> <!-- this will sort under capital O<br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2011]]<br />
--> <br />
<br />
<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2012 <top>] <br />
<br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012&diff=134021German OWASP Day 20122012-08-08T11:59:54Z<p>Ingo Hanke: </p>
<hr />
<div>__TOC__<br />
<br />
[[Image:2012_owasp_day_w_480px.png|center|Logo 5th German OWASP Day]]<br />
<br />
<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center> <br />
<br> <br />
<br />
== German OWASP Day 2012 ==<br />
<br />
<span style="font-size:150%"><br />
An dem überaus erfolgreich verlaufenden OWASP Day [https://www.owasp.org/index.php/German_OWASP_Day_2011 2011] wollen wir 2012 anknüpfen. Wir freuen uns auf zahlreiche spannende Einreichungen für die fünfte Inkarnation unserer Konferenz.<br />
</span><br />
<br />
<br />
=== Wann + Wo ===<br />
Mittwoch, den 7.11.2012, ab 9:00 bis zirka 18:00 Uhr<br />
<br />
Hotel [http://www.dolcemunich.com/ Dolce Munich Unterschleissheim] (Andreas-Danzer-Weg 1, 85716 Unterschleißheim)<br />
<br />
Die Vorabendveranstaltung wird im Augustiner Bräu München ab 19:30 Uhr stattfinden.<br />
<br />
<br />
== CfP und Speaker Agreement ==<br />
<br />
Das Programmkomitee freut sich wieder auf zahlreiche und spannende Beiträge zum OWASP Day 2012. Fachliche Details, Deadlines und mehr sind dem <br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/CfP|CfP]]</span> zu entnehmen.<br />
<br />
'''Submission Deadline: 15. August 2012.'''<br />
<br />
<br />
== Programm ==<br />
<br />
Wir haben bereits Zusagen renommierter <span style="text-decoration: underline">[[German_OWASP_Day_2012/Programm|Invited Speaker]]</span>.<br />
<br />
<br />
== Sponsoren ==<br />
<br />
Auch dieses Jahr gibt es wieder die Möglichkeit für interessierte Firmen, Ihren Support für das Open Web Application Security Project zu zeigen und sich in verschiedenen Formen während des OWASP Days 2012 zu präsentieren. Details haben wir auf einer<br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/Sponsoren|separaten Seite]]</span> zusammengestellt.<br />
<br />
<br />
== Übernachtungen/Anreise ==<br />
<br />
Für alle, die nicht aus München kommen, gibt es <span style="text-decoration: underline">[[German_OWASP_Day_2012/Lokales|hier]]</span> weitere Infos wie Abrufkontingente und ein paar lokale Informationen.<br />
<br />
<br />
== Eintrittspreise ==<br />
<br />
Die Eintrittspreise werden in Kürze bekanntgegeben. <br />
<!-- <br />
Für den OWASP German Day 2012 gelten folgenden Preise (inkl. gesetzl. MwSt.): <br />
<br />
*Nicht-Mitglieder Early Bird: 260,00 €<br />
*Nicht-Mitglieder: 330,00 €<br />
*Mitglieder Early Bird: 220,00 €<br />
*Mitglieder: 260,00 €<br />
*Studenten: 70,00 €.<br />
<br />
(*) Eine Registrierung zu Early-Bird-Preisen ist bis zum XX.10.2012 möglich <br />
<br />
(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen. <br />
<br />
<br><br />
<br />
---><br />
== Anmeldung ==<br />
<br />
Die Anmeldeseite wird in Kürze freigeschalten.<br />
<!--<br />
Bitte melden Sie sich für die Konferenz und die Vorabendveranstaltung auf der Anmeldungseite an. <br />
--><br />
== Wir danken unseren Sponsoren ==<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:8em" | Platin<br />
|-<br />
| [[Image:Optimabit logo 692.33p.jpg|left|228x51px|link=http://www.optimabit.com/|www.optimabit.com]]<br />
|}<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Gold <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Silber <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Bronze<br />
|-<br />
| [[Image:Sicsec-130x39.png|left|link=http://www.sicsec.de/|www.sicsec.de]] <br />
| [[Image:Isseco_logo_224x84.gif|left|link=http://www.isseco.org/|www.isseco.org]]<br />
| [[Image:TC-Logo-mit-Firmennamen-RGB.gif|left|link=http://www.tele-consulting.com|www.tele-consulting.com]]<br />
|-<br />
| [[Image:Schutzwerk-300x29.png|left|www.schutzwerk.de]] <br />
|<br />
|<br />
|-<br />
| [[Image:SecureNet-Logo-240x56.png|left|www.securenet.de]] <br />
|<br />
|<br />
|}<br />
<br />
== Organisation ==<br />
<br />
*Birgit Bernskötter (Extern) <br />
<br />
*Hartwig Gelhausen<br />
*[[User:Ingo Hanke|Ingo Hanke]]<br />
*[[User:Achim|Achim Hoffmann]] (Board Member) <br />
*Martin Johns (Board Member)<br />
*[[User:Bruce Sams|Bruce Sams]] (Board Member) <br />
*[[User:Dr. Emin Tatlı|Emin Tatlı]] (Board Member)<br />
*[[User:Dirk Wetter|Dirk Wetter]] (Board Member)<br />
<br />
== Hash tag ==<br />
<br />
[https://twitter.com/#!/search/%23owasp_d2012 #owasp_d2012] <br />
<br />
<br> <headertabs /> <!-- this will sort under capital O<br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2011]]<br />
--> <br />
<br />
<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2012 <top>] <br />
<br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012&diff=134020German OWASP Day 20122012-08-08T11:58:18Z<p>Ingo Hanke: </p>
<hr />
<div>__TOC__<br />
<br />
[[Image:2012_owasp_day_w_480px.png|center|Logo 5th German OWASP Day]]<br />
<br />
<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center> <br />
<br> <br />
<br />
== German OWASP Day 2012 ==<br />
<br />
<span style="font-size:150%"><br />
An dem überaus erfolgreich verlaufenden OWASP Day [https://www.owasp.org/index.php/German_OWASP_Day_2011 2011] wollen wir 2012 anknüpfen. Wir freuen uns auf zahlreiche spannende Einreichungen für die fünfte Inkarnation unserer Konferenz.<br />
</span><br />
<br />
<br />
=== Wann + Wo ===<br />
Mittwoch, den 7.11.2012, ab 9:00 bis zirka 18:00 Uhr<br />
<br />
Hotel [http://www.dolcemunich.com/ Dolce Munich Unterschleissheim] (Andreas-Danzer-Weg 1, 85716 Unterschleißheim)<br />
<br />
Die Vorabendveranstaltung wird im Augustiner Bräu München ab 19:30 Uhr stattfinden.<br />
<br />
<br />
== CfP und Speaker Agreement ==<br />
<br />
Das Programmkomitee freut sich wieder auf zahlreiche und spannende Beiträge zum OWASP Day 2012. Fachliche Details, Deadlines und mehr sind dem <br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/CfP|CfP]]</span> zu entnehmen.<br />
<br />
'''Submission Deadline: 15. August 2012.'''<br />
<br />
<br />
== Programm ==<br />
<br />
Wir haben bereits Zusagen renommierter <span style="text-decoration: underline">[[German_OWASP_Day_2012/Programm|Invited Speaker]]</span>.<br />
<br />
<br />
== Sponsoren ==<br />
<br />
Auch dieses Jahr gibt es wieder die Möglichkeit für interessierte Firmen, Ihren Support für das Open Web Application Security Project zu zeigen und sich in verschiedenen Formen während des OWASP Days 2012 zu präsentieren. Details haben wir auf einer<br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/Sponsoren|separaten Seite]]</span> zusammengestellt.<br />
<br />
<br />
== Übernachtungen/Anreise ==<br />
<br />
Für alle, die nicht aus München kommen, gibt es <span style="text-decoration: underline">[[German_OWASP_Day_2012/Lokales|hier]]</span> weitere Infos wie Abrufkontingente und ein paar lokale Informationen.<br />
<br />
<br />
== Eintrittspreise ==<br />
<br />
Die Eintrittspreise werden in Kürze bekanntgegeben. <br />
<!-- <br />
Für den OWASP German Day 2012 gelten folgenden Preise (inkl. gesetzl. MwSt.): <br />
<br />
*Nicht-Mitglieder Early Bird: 260,00 €<br />
*Nicht-Mitglieder: 330,00 €<br />
*Mitglieder Early Bird: 220,00 €<br />
*Mitglieder: 260,00 €<br />
*Studenten: 70,00 €.<br />
<br />
(*) Eine Registrierung zu Early-Bird-Preisen ist bis zum XX.10.2012 möglich <br />
<br />
(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen. <br />
<br />
<br><br />
<br />
---><br />
== Anmeldung ==<br />
<br />
Die Anmeldeseite wird in Kürze freigeschalten.<br />
<!--<br />
Bitte melden Sie sich für die Konferenz und die Vorabendveranstaltung auf der Anmeldungseite an. <br />
--><br />
== Wir danken unseren Sponsoren ==<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:8em" | Platin<br />
|-<br />
| [[Image:Optimabit logo 692.33p.jpg|left|228x51px|link=http://www.optimabit.com/|www.optimabit.com]]<br />
|}<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Gold <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Silber <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Bronze<br />
|-<br />
| [[Image:Sicsec-130x39.png|left|link=http://www.sicsec.de/|www.sicsec.de]] <br />
| [[Image:Isseco_logo_224x84.gif|left|link=http://www.isseco.org/|www.isseco.org]]<br />
| [[Image:TC-Logo-mit-Firmennamen-RGB.gif|left|link=http://www.tele-consulting.com|www.tele-consulting.com]]<br />
|-<br />
| [[Image:Schutzwerk-300x29.png|left|www.schutzwerk.de]] <br />
|<br />
|<br />
|-<br />
| [[Image:SecureNet-Logo-240x56.png|left|www.securenet.de]] <br />
|<br />
|<br />
|-<br />
| [[Image:denyall.jpg|left|www.denyall.com]] <br />
|<br />
|<br />
|}<br />
<br />
== Organisation ==<br />
<br />
*Birgit Bernskötter (Extern) <br />
<br />
*Hartwig Gelhausen<br />
*[[User:Ingo Hanke|Ingo Hanke]]<br />
*[[User:Achim|Achim Hoffmann]] (Board Member) <br />
*Martin Johns (Board Member)<br />
*[[User:Bruce Sams|Bruce Sams]] (Board Member) <br />
*[[User:Dr. Emin Tatlı|Emin Tatlı]] (Board Member)<br />
*[[User:Dirk Wetter|Dirk Wetter]] (Board Member)<br />
<br />
== Hash tag ==<br />
<br />
[https://twitter.com/#!/search/%23owasp_d2012 #owasp_d2012] <br />
<br />
<br> <headertabs /> <!-- this will sort under capital O<br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2011]]<br />
--> <br />
<br />
<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2012 <top>] <br />
<br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012/Programm&diff=131475German OWASP Day 2012/Programm2012-06-15T08:00:31Z<p>Ingo Hanke: Created page with "'''Programm des German OWASP Day 2012''' == Themen == Simon Bennetts: '''OWASP Zed Attack Proxy''' Dr. Mario Heiderich: '''XSS von 1999 bis 2013 - Die Doctrine Classique de..."</p>
<hr />
<div>'''Programm des German OWASP Day 2012'''<br />
<br />
== Themen ==<br />
<br />
Simon Bennetts: '''OWASP Zed Attack Proxy'''<br />
<br />
Dr. Mario Heiderich: '''XSS von 1999 bis 2013 - Die Doctrine Classique der Websicherheit'''<br />
<br />
<br />
== Abstracts ==<br />
<br />
Simon Bennetts: '''OWASP Zed Attack Proxy'''<br />
<br />
The OWASP Zed Attack Proxy (ZAP) is an easy to use integrated penetration<br />
testing tool for finding vulnerabilities in web applications.<br />
It is a community project, being maintained by a worldwide group of<br />
volunteers and is completely free, open source and cross platform.<br />
Since its release in 2010 ZAP has gone from strength to strength and is now<br />
a flagship OWASP project.<br />
<br />
Simon (the ZAP project lead) will:<br />
<br />
* Introduce ZAP to those who have not encountered it before<br />
* Detail the new features in the most recent releases<br />
* Explain the 3 ZAP related Google Summer of Code projects<br />
* Talk about the future plans<br />
<br />
<br />
Dr. Mario Heiderich: '''XSS von 1999 bis 2013 - Die Doctrine Classique der Websicherheit'''<br />
<br />
Cross-Site Scripting Angriffe wurden erstmals vor circa 14 Jahren<br />
dokumentiert. Seitdem hat diese Angriffstechnik eine Evolution<br />
durchzogen, die klassischen Dramentheorie ähnelt - inklusive<br />
Katastase, Heldentum und Peripetie.<br />
<br />
Nun hält HTML Einzug in die Welt der Betriebssysteme, und das Drama<br />
XSS befindet sich an der Baumgrenze zur Katastrophe - der harmlose<br />
"Alert" hat sich zum schwarzen Schwan beliebiger Code-Ausführung im<br />
Betriebssystem gewandelt.<br />
<br />
Dieser Vortrag zeigt die Evolution der Angriffstechnik XSS, untersucht<br />
unser aller Fehler in der bisherig angewandten Bekämpfung, bietet<br />
konsequente Ausblicke und schließt mit Denkanstößen für das Jahr 2013<br />
und fortfolgend.<br />
<br />
<br />
== Sprecher ==<br />
<br />
'''Simon Bennetts'''<br />
<br />
Simon Bennetts (a.k.a. Psiinon) has been developing web applications since<br />
1997, and strongly believes that you cannot build secure web applications<br />
without knowing how to attack them.<br />
He works for Mozilla as part of their Security Team.<br />
<br />
Some of the projects Simon works on:<br />
*OWASP Zed Attack Proxy project lead<br />
*OWASP Data Exchange Format project lead<br />
*Bodge It Store project lead<br />
*OWASP AppSensor contributor<br />
*wavsep contributor<br />
'Penetration Testing for Developers' blog author<br />
<br />
He is also one of the chapter leaders for the OWASP Manchester chapter.<br />
<br />
Simon has a B.Sc in Computing and Information Systems from Manchester<br />
University.<br />
<br />
<br />
'''Dr. Mario Heiderich'''<br />
<br />
Dr. Mario Heiderich arbeitet als Forscher für die Ruhr-Universität in<br />
Bochum, findet Lücken im IE und anderen Tools für Microsoft in Redmond<br />
und arbeitet im wesentlichen im Bereich HTML5- und SVG- und<br />
Browser-Sicherheit. <br />
<br />
Mario glaubt allen ernstes, man könne XSS mittels<br />
JavaScript verhindern und besiegen, schrieb darüber eine Dissertation<br />
und hat auch sonst eher wunderliche Ansichten. <br />
<br />
In der verbleibenden<br />
Zeit pen-testet und berät Mario diverse DAX-Unternehmen, spricht auf<br />
internationalen Konferenzen und hat irrationale Freude am Finden von<br />
Bugs und Designfehlern.</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012&diff=130954German OWASP Day 20122012-06-05T09:38:24Z<p>Ingo Hanke: </p>
<hr />
<div>__NOTOC__<br />
<br />
[[Image:2012_owasp_day_w_480px.png|center|Logo 5th German OWASP Day]]<br />
<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center> <br />
<br> <br />
<br />
= OWASP Day 2012 =<br />
=== 5. German OWASP Day 2012 ===<br />
<br />
<span style="font-size:150%"><br />
An dem überaus erfolgreich verlaufenden OWASP Day [https://www.owasp.org/index.php/German_OWASP_Day_2011 2011] wollen wir 2012 anknüpfen. Wir freuen uns auf zahlreiche spannende Einreichungen für die fünfte Inkarnation unserer Konferenz.<br />
</span><br />
<br />
<br />
== Wann ==<br />
Mittwoch, den 7.11.2012, ab 9:00 bis zirka 18:00 Uhr<br />
<br />
== Wo ==<br />
Hotel [http://www.dolcemunich.com/ Dolce Munich Unterschleissheim]<br />
<br />
Andreas-Danzer-Weg 1<br />
85716 Unterschleißheim<br />
Telefon: +49-(89)-370530-0<br />
<br />
<!--<br />
<br />
== Eintrittspreise ==<br />
<br />
Für den OWASP German Day 2012 gelten folgenden Preise (inkl. gesetzl. MwSt.): <br />
<br />
*Nicht-Mitglieder Early Bird: 260,00 €<br />
*Nicht-Mitglieder: 330,00 €<br />
*Mitglieder Early Bird: 220,00 €<br />
*Mitglieder: 260,00 €<br />
*Studenten: 70,00 €.<br />
<br />
(*) Eine Registrierung zu Early-Bird-Preisen ist bis zum XX.10.2012 möglich <br />
<br />
(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen. <br />
<br />
<br><br />
<br />
---><br />
<br />
== Hash tag ==<br />
<br />
[https://twitter.com/#!/search/%23owaspde2012 #owaspde2012] <br />
<br />
<br />
== Wir danken unseren Sponsoren ==<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:8em" | Platin<br />
|-<br />
| [[Image:Optimabit logo 692.33p.jpg|left|228x51px|link=http://www.optimabit.com/|www.optimabit.com]]<br />
|}<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Gold <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Silber <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Bronze<br />
|-<br />
| [[Image:Sicsec-130x39.png|left|link=http://www.sicsec.de/|www.sicsec.de]] <br />
| <!-- silber --> <br />
| [[Image:TC-Logo-mit-Firmennamen-RGB.gif|left|link=http://www.tele-consulting.com|www.tele-consulting.com]]<br />
|}<br />
<br />
<br />
<br />
<br />
<br />
== ==<br />
<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2012 <top>] <br />
<br />
<br />
<br />
<br />
= Konferenzdaten =<br />
=== Konferenzdaten ===<br />
<br />
== Wo ==<br />
<br />
Die Konferenz findet im [http://maps.google.de/maps?f=q&source=s_q&hl=en&geocode=&q=nh+muenchen+dornach+Einsteinring&aq=&g=Einsteinring+20,+85609+Munich&ie=UTF8&hq=nh&hnear=Einsteinring,+Dornach+85609+Aschheim,+M%C3%BCnchen,+Bayern&ll=48.147019,11.714859&spn=0.048105,0.13175&z=14 NH-Hotel München Dornach] statt. <br />
<br />
Die Vorabendveranstaltung wird im Augustiner Bräu München stattfinden. <br />
<br />
== Wann ==<br />
<br />
*Vorabendveranstaltung: Dienstag, den 6.11.2012, ab 19:30<br />
*Konferenz: Mittwoch, den 7.11.2012, 9h-18h<br />
<br />
<br />
== Organisation ==<br />
<br />
*Birgit Bernskötter (Extern) <br />
<br />
*[[User:Hartwig Gelhausen|Hartwig Gelhausen]]<br />
*[[User:Ingo Hanke|Ingo Hanke]]<br />
*[[User:Achim|Achim Hoffmann]] (Board Member) <br />
*Martin Johns <br />
*[[User:Bruce Sams|Bruce Sams]] (Board Member) <br />
*[[User:Emin Tatli|Emin Tatli]]<br />
*[[User:Dirk Wetter|Dirk Wetter]] (Board Member)<br />
<br />
<br />
== Hash tag ==<br />
<br />
[https://twitter.com/#!/search/%23owasp_d2011 #owasp_d2011] <br />
<br />
<br />
= Anreise und Unterkunft =<br />
=== Anreise und Unterkunft ===<br />
<br />
== Veranstaltungsort ==<br />
Die Konferenz findet am '''7.11.2012''' im Hotel '''[http://www.dolcemunich.com/ Dolce Munich Unterschleissheim]''' statt.<br />
<br />
Adresse:<br />
<br />
Andreas-Danzer-Weg 1<br />
<br />
85716 Unterschleißheim<br />
<br />
Telefon: +49-(89)-370530-0<br />
<br />
Web: [http://www.dolcemunich.com www.dolcemunich.com]<br />
<br />
<br />
'''Anfahrt / Karte''': [http://maps.google.com/maps?q=dolce+hotel+unterschleissheim&ie=UTF8&ll=48.281822,11.614609&spn=0.422213,0.585709&oe=utf-8&fb=1&hq=dolce+hotel&hnear=0x479e71b56804dedb:0x41d25a40937a470,Unterschlei%C3%9Fheim,+Germany&cid=0,0,7184167378370716309&t=m&z=11 Google Maps]<br />
<br />
== Unterkünfte ==<br />
Für den OWASP Day sind Abrufkontingente in folgenden Hotels vereinbart:<br />
<br />
<br />
'''Dolce Munich Unterschleißheim'''<br />
<br />
Andreas-Danzer-Weg 1<br />
<br />
85716 Unterschleißheim bei München<br />
<br />
Telefon: +49-89-370 530 0<br />
<br />
[http://www.dolcemunich.com www.dolcemunich.com]<br />
<br />
Preis: 189 € Einzelzimmer, 219 € Doppelzimmer inkl. MWSt. + Frühstück<br />
<br />
Reservierung über: [https://resweb.passkey.com/Resweb.do?mode=welcome_ei_new&eventID=9632115 https://resweb.passkey.com/Resweb.do?mode=welcome_ei_new&eventID=9632115]<br />
<br />
<br />
'''Best Western ApartHotel München'''<br />
<br />
Dachauer Straße 199<br />
<br />
80637 München<br />
<br />
Web: [http://www.bestwestern.de/hotels/Muenchen/BEST-WESTERN-ApartHotel-Muenchen http://www.bestwestern.de/hotels/Muenchen/BEST-WESTERN-ApartHotel-Muenchen]<br />
<br />
Email: info@apart-bestwestern.de<br />
<br />
Preis: 87 € inkl. MWSt. + Frühstück<br />
<br />
Reservierung telefonisch: 089-15 92 57-0<br />
<br />
Stichwort "German OWASP Day"<br />
<br />
<br />
'''Winters Hotel München GmbH'''<br />
<br />
Arnulfstr. 12<br />
<br />
80335 München <br />
<br />
Telefon: +49 (0) 89 55139-0<br />
<br />
Telefax:+49 (0) 89 5934-03 <br />
<br />
Web: [http://www.winters-hotel-muenchen-city-center.de http://www.winters-hotel-muenchen-city-center.de] <br />
<br />
Email: hotelmuenchen@winters.de<br />
<br />
Preis: 75 €<br />
<br />
Stichwort: "German OWASP Day"<br />
<br />
<br />
= Abendveranstaltung =<br />
=== Abendveranstaltung ===<br />
<br />
== Wann ==<br />
Dienstag, den 6.11.2012, ab 19:30<br />
<br />
== Wo ==<br />
[http://www.braeustuben.de/lokal.php Augustiner Bräustuben], Landsberger Str. 19, 80339 München<br />
[http://maps.google.de/maps?q=LANDSBERGER+STRASSE+19+80339+M%C3%9CNCHEN&hq=&hnear=0x479e7601b699ffd5:0x4be4ced9008a615b,Landsberger+Stra%C3%9Fe+19,+D-80339+M%C3%BCnchen&gl=de&ei=12GhTpmxPMTusga_h73pAg&sa=X&oi=geocode_result&ct=image&resnum=1&ved=0CB0Q8gEwAA Stadtplan und Streetview]<br />
<br />
Raum Alte Schmiede<br />
<br />
== Anreise ==<br />
<br />
=== S-Bahn ===<br />
* Vom Hauptbahnhof: S1, S2, S3, S4, S6, S7, S8 bis Hackerbrücke, dann ca. 5 Minuten Fußweg (Hackerbrücke Richtung Süden, Grasserstr. bis Landsbergerstr., dann rechts bis zur nächsten Straße links)<br />
* Vom Westen (z.B. Pasing): S3, S4, S6, S8 bis Hackerbrücke, dann wie vom Hauptbahnhof<br />
[http://efa.mvv-muenchen.de/mvv/XSLT_TRIP_REQUEST2 Fahrplanauskunft]<br />
<br />
=== Hauptbahnhof ===<br />
(Ausgang Süd) ca. 15 Minuten, zu Fuß Bayerstraße Richtung Westen, weiter in Landsbergerstr. bis Nr. 19<br />
<br />
=== Auto ===<br />
* Vom Westen (z.B. Autobahnende A8): am Autobahnende rechts nach Pasing, dort links in Richtung München Zentrum, wird zur Landsbergerstr.<br />
* alle anderen Richtungen über Mittlerer Ring West bis Donnersbergerbrücke, dort Richtung München Zentrum, ist die Landsbergerstr.<br />
<br />
<br />
<br />
<br />
= CfP =<br />
=== CfP und Speaker Agreement ===<br />
<br />
Das Programmkomitee freut sich wieder auf zahlreiche und spannende Beiträge zum OWASP Day 2012. Fachliche Details, Deadlines und mehr sind dem <br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/CfP|CfP]]</span> zu entnehmen.<br />
<br />
<br />
= Sponsoren =<br />
=== Sponsoren ===<br />
<br />
Auch dieses Jahr gibt es wieder die Möglichkeit für interessierte Firmen, Ihren Support für das Open Web Application Security Project zu zeigen und sich in verschiedenen Formen während des OWASP Days 2012 zu präsentieren. <br />
<br />
Auch 2012 wird es wieder die Möglichkeit zum Sponsoring geben.<br />
<br />
== Infos für Sponsoren ==<br />
<br />
Als Sponsor des German OWASP Day 2012 setzen Sie ein klares Zeichen: Sie unterstützen ''den'' deutschen Branchentreffpunkt im Bereich Web Application Security und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet. <br />
<br />
Dieses Jahr findet die deutsche OWASP-Konferenz wieder in München statt. Im Rahmen einer konferenzbegleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen oder beispielsweise nach klugen Köpfen suchen. Wir erwarten zwischen 150 – 200 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- und Telekommunikationsindustrie. Wir bieten Ihnen die Möglichkeit des “Platinum, Gold-, Silber oder Bronze-Sponsorings”. Ihr Logo mit Link ist in jedem Fall bei uns auf der Landing Page.<br />
<br />
<br />
Mehr Infos zum Sponsoring sind [[Media:Uebersicht-Sponsoring-OWASP-Day-2012.pdf|diesem PDF]] zu entnehmen. <br />
<br />
<br />
Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und [https://www.owasp.org/index.php/About_OWASP#Tax_Status:_501.28c.29.283.29_Not-For-Profit_Organization gemeinnützigen] OWASP Foundation (501c3 Not-For-Profit). <br />
<br />
== Sponsor-Level ==<br />
<br />
Wir bieten Ihnen vier verschiedene Level, die in Preis und Leistung differieren:<br />
<br />
* Platin: 5000 €<br />
* Gold: 2500 €<br />
* Silber: 1250 €<br />
* Bronze: 625 €<br />
<br />
Bezüglich der Gegenleistungen, die Sie dafür erwarten können, wird Ihnen Frau Bernskötter Rede und Antwort stehen.<br />
<br />
<br><br />
<br />
== Kontakt ==<br />
<br />
[mailto:birgitb@bernskoetter.de Birgit Bernskötter (BB Marketing Services)]<br />
<br />
[mailto:orga2012@owasp.de orga2012@owasp.de] <br />
<br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O<br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2011]]<br />
--> <br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=File:TC-Logo-mit-Firmennamen-RGB.gif&diff=130953File:TC-Logo-mit-Firmennamen-RGB.gif2012-06-05T09:35:41Z<p>Ingo Hanke: </p>
<hr />
<div></div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012&diff=130952German OWASP Day 20122012-06-05T09:34:55Z<p>Ingo Hanke: </p>
<hr />
<div>__NOTOC__<br />
<br />
[[Image:2012_owasp_day_w_480px.png|center|Logo 5th German OWASP Day]]<br />
<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center> <br />
<br> <br />
<br />
= OWASP Day 2012 =<br />
=== 5. German OWASP Day 2012 ===<br />
<br />
<span style="font-size:150%"><br />
An dem überaus erfolgreich verlaufenden OWASP Day [https://www.owasp.org/index.php/German_OWASP_Day_2011 2011] wollen wir 2012 anknüpfen. Wir freuen uns auf zahlreiche spannende Einreichungen für die fünfte Inkarnation unserer Konferenz.<br />
</span><br />
<br />
<br />
== Wann ==<br />
Mittwoch, den 7.11.2012, ab 9:00 bis zirka 18:00 Uhr<br />
<br />
== Wo ==<br />
Hotel [http://www.dolcemunich.com/ Dolce Munich Unterschleissheim]<br />
<br />
Andreas-Danzer-Weg 1<br />
85716 Unterschleißheim<br />
Telefon: +49-(89)-370530-0<br />
<br />
<!--<br />
<br />
== Eintrittspreise ==<br />
<br />
Für den OWASP German Day 2012 gelten folgenden Preise (inkl. gesetzl. MwSt.): <br />
<br />
*Nicht-Mitglieder Early Bird: 260,00 €<br />
*Nicht-Mitglieder: 330,00 €<br />
*Mitglieder Early Bird: 220,00 €<br />
*Mitglieder: 260,00 €<br />
*Studenten: 70,00 €.<br />
<br />
(*) Eine Registrierung zu Early-Bird-Preisen ist bis zum XX.10.2012 möglich <br />
<br />
(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen. <br />
<br />
<br><br />
<br />
---><br />
<br />
== Hash tag ==<br />
<br />
[https://twitter.com/#!/search/%23owaspde2012 #owaspde2012] <br />
<br />
<br />
== Wir danken unseren Sponsoren ==<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:8em" | Platin<br />
|-<br />
| [[Image:Optimabit logo 692.33p.jpg|left|228x51px|link=http://www.optimabit.com/|www.optimabit.com]]<br />
|}<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Gold <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Silber <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Bronze<br />
|-<br />
| [[Image:Sicsec-130x39.png|left|link=http://www.sicsec.de/|www.sicsec.de]] <br />
| <!-- silber --> <br />
| [[Image:TC-Logo-mit-Firmennamen-RGB.gif|left|link=http://www.tele-consulting.com|www.tele-consulting.com]]<br />
|}<br />
<br />
<br />
<br />
<br />
<br />
== ==<br />
<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2012 <top>] <br />
<br />
<br />
<br />
<br />
= Konferenzdaten =<br />
=== Konferenzdaten ===<br />
<br />
== Wo ==<br />
<br />
Die Konferenz findet im [http://maps.google.de/maps?f=q&source=s_q&hl=en&geocode=&q=nh+muenchen+dornach+Einsteinring&aq=&g=Einsteinring+20,+85609+Munich&ie=UTF8&hq=nh&hnear=Einsteinring,+Dornach+85609+Aschheim,+M%C3%BCnchen,+Bayern&ll=48.147019,11.714859&spn=0.048105,0.13175&z=14 NH-Hotel München Dornach] statt. <br />
<br />
Die Vorabendveranstaltung wird im Augustiner Bräu München stattfinden. <br />
<br />
== Wann ==<br />
<br />
*Vorabendveranstaltung: Dienstag, den 6.11.2012, ab 19:30<br />
*Konferenz: Mittwoch, den 7.11.2012, 9h-18h<br />
<br />
<br />
== Organisation ==<br />
<br />
*Birgit Bernskötter (Extern) <br />
<br />
*[[User:Hartwig Gelhausen|Hartwig Gelhausen]]<br />
*[[User:Ingo Hanke|Ingo Hanke]]<br />
*[[User:Achim|Achim Hoffmann]] (Board Member) <br />
*Martin Johns <br />
*[[User:Bruce Sams|Bruce Sams]] (Board Member) <br />
*[[User:Emin Tatli|Emin Tatli]]<br />
*[[User:Dirk Wetter|Dirk Wetter]]<br />
<br />
<br />
== Hash tag ==<br />
<br />
[https://twitter.com/#!/search/%23owasp_d2011 #owasp_d2011] <br />
<br />
<br />
= Anreise und Unterkunft =<br />
=== Anreise und Unterkunft ===<br />
<br />
== Veranstaltungsort ==<br />
Die Konferenz findet am '''7.11.2012''' im Hotel '''[http://www.dolcemunich.com/ Dolce Munich Unterschleissheim]''' statt.<br />
<br />
Adresse:<br />
<br />
Andreas-Danzer-Weg 1<br />
<br />
85716 Unterschleißheim<br />
<br />
Telefon: +49-(89)-370530-0<br />
<br />
Web: [http://www.dolcemunich.com www.dolcemunich.com]<br />
<br />
<br />
'''Anfahrt / Karte''': [http://maps.google.com/maps?q=dolce+hotel+unterschleissheim&ie=UTF8&ll=48.281822,11.614609&spn=0.422213,0.585709&oe=utf-8&fb=1&hq=dolce+hotel&hnear=0x479e71b56804dedb:0x41d25a40937a470,Unterschlei%C3%9Fheim,+Germany&cid=0,0,7184167378370716309&t=m&z=11 Google Maps]<br />
<br />
== Unterkünfte ==<br />
Für den OWASP Day sind Abrufkontingente in folgenden Hotels vereinbart:<br />
<br />
<br />
'''Dolce Munich Unterschleißheim'''<br />
<br />
Andreas-Danzer-Weg 1<br />
<br />
85716 Unterschleißheim bei München<br />
<br />
Telefon: +49-89-370 530 0<br />
<br />
[http://www.dolcemunich.com www.dolcemunich.com]<br />
<br />
Preis: 189 € Einzelzimmer, 219 € Doppelzimmer inkl. MWSt. + Frühstück<br />
<br />
Reservierung über: [https://resweb.passkey.com/Resweb.do?mode=welcome_ei_new&eventID=9632115 https://resweb.passkey.com/Resweb.do?mode=welcome_ei_new&eventID=9632115]<br />
<br />
<br />
'''Best Western ApartHotel München'''<br />
<br />
Dachauer Straße 199<br />
<br />
80637 München<br />
<br />
Web: [http://www.bestwestern.de/hotels/Muenchen/BEST-WESTERN-ApartHotel-Muenchen http://www.bestwestern.de/hotels/Muenchen/BEST-WESTERN-ApartHotel-Muenchen]<br />
<br />
Email: info@apart-bestwestern.de<br />
<br />
Preis: 87 € inkl. MWSt. + Frühstück<br />
<br />
Reservierung telefonisch: 089-15 92 57-0<br />
<br />
Stichwort "German OWASP Day"<br />
<br />
<br />
'''Winters Hotel München GmbH'''<br />
<br />
Arnulfstr. 12<br />
<br />
80335 München <br />
<br />
Telefon: +49 (0) 89 55139-0<br />
<br />
Telefax:+49 (0) 89 5934-03 <br />
<br />
Web: [http://www.winters-hotel-muenchen-city-center.de http://www.winters-hotel-muenchen-city-center.de] <br />
<br />
Email: hotelmuenchen@winters.de<br />
<br />
Preis: 75 €<br />
<br />
Stichwort: "German OWASP Day"<br />
<br />
<br />
= Abendveranstaltung =<br />
=== Abendveranstaltung ===<br />
<br />
== Wann ==<br />
Dienstag, den 6.11.2012, ab 19:30<br />
<br />
== Wo ==<br />
[http://www.braeustuben.de/lokal.php Augustiner Bräustuben], Landsberger Str. 19, 80339 München<br />
[http://maps.google.de/maps?q=LANDSBERGER+STRASSE+19+80339+M%C3%9CNCHEN&hq=&hnear=0x479e7601b699ffd5:0x4be4ced9008a615b,Landsberger+Stra%C3%9Fe+19,+D-80339+M%C3%BCnchen&gl=de&ei=12GhTpmxPMTusga_h73pAg&sa=X&oi=geocode_result&ct=image&resnum=1&ved=0CB0Q8gEwAA Stadtplan und Streetview]<br />
<br />
Raum Alte Schmiede<br />
<br />
== Anreise ==<br />
<br />
=== S-Bahn ===<br />
* Vom Hauptbahnhof: S1, S2, S3, S4, S6, S7, S8 bis Hackerbrücke, dann ca. 5 Minuten Fußweg (Hackerbrücke Richtung Süden, Grasserstr. bis Landsbergerstr., dann rechts bis zur nächsten Straße links)<br />
* Vom Westen (z.B. Pasing): S3, S4, S6, S8 bis Hackerbrücke, dann wie vom Hauptbahnhof<br />
[http://efa.mvv-muenchen.de/mvv/XSLT_TRIP_REQUEST2 Fahrplanauskunft]<br />
<br />
=== Hauptbahnhof ===<br />
(Ausgang Süd) ca. 15 Minuten, zu Fuß Bayerstraße Richtung Westen, weiter in Landsbergerstr. bis Nr. 19<br />
<br />
=== Auto ===<br />
* Vom Westen (z.B. Autobahnende A8): am Autobahnende rechts nach Pasing, dort links in Richtung München Zentrum, wird zur Landsbergerstr.<br />
* alle anderen Richtungen über Mittlerer Ring West bis Donnersbergerbrücke, dort Richtung München Zentrum, ist die Landsbergerstr.<br />
<br />
<br />
<br />
<br />
= CfP =<br />
=== CfP und Speaker Agreement ===<br />
<br />
Das Programmkomitee freut sich wieder auf zahlreiche und spannende Beiträge zum OWASP Day 2012. Fachliche Details, Deadlines und mehr sind dem <br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/CfP|CfP]]</span> zu entnehmen.<br />
<br />
<br />
= Sponsoren =<br />
=== Sponsoren ===<br />
<br />
Auch dieses Jahr gibt es wieder die Möglichkeit für interessierte Firmen, Ihren Support für das Open Web Application Security Project zu zeigen und sich in verschiedenen Formen während des OWASP Days 2012 zu präsentieren. <br />
<br />
Auch 2012 wird es wieder die Möglichkeit zum Sponsoring geben.<br />
<br />
== Infos für Sponsoren ==<br />
<br />
Als Sponsor des German OWASP Day 2012 setzen Sie ein klares Zeichen: Sie unterstützen ''den'' deutschen Branchentreffpunkt im Bereich Web Application Security und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet. <br />
<br />
Dieses Jahr findet die deutsche OWASP-Konferenz wieder in München statt. Im Rahmen einer konferenzbegleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen oder beispielsweise nach klugen Köpfen suchen. Wir erwarten zwischen 150 – 200 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- und Telekommunikationsindustrie. Wir bieten Ihnen die Möglichkeit des “Platinum, Gold-, Silber oder Bronze-Sponsorings”. Ihr Logo mit Link ist in jedem Fall bei uns auf der Landing Page.<br />
<br />
<br />
Mehr Infos zum Sponsoring sind [[Media:Uebersicht-Sponsoring-OWASP-Day-2012.pdf|diesem PDF]] zu entnehmen. <br />
<br />
<br />
Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und [https://www.owasp.org/index.php/About_OWASP#Tax_Status:_501.28c.29.283.29_Not-For-Profit_Organization gemeinnützigen] OWASP Foundation (501c3 Not-For-Profit). <br />
<br />
== Sponsor-Level ==<br />
<br />
Wir bieten Ihnen vier verschiedene Level, die in Preis und Leistung differieren:<br />
<br />
* Platin: 5000 €<br />
* Gold: 2500 €<br />
* Silber: 1250 €<br />
* Bronze: 625 €<br />
<br />
Bezüglich der Gegenleistungen, die Sie dafür erwarten können, wird Ihnen Frau Bernskötter Rede und Antwort stehen.<br />
<br />
<br><br />
<br />
== Kontakt ==<br />
<br />
[mailto:birgitb@bernskoetter.de Birgit Bernskötter (BB Marketing Services)]<br />
<br />
[mailto:orga2012@owasp.de orga2012@owasp.de] <br />
<br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O<br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2011]]<br />
--> <br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=File:Uebersicht-Sponsoring-OWASP-Day-2012.pdf&diff=130950File:Uebersicht-Sponsoring-OWASP-Day-2012.pdf2012-06-05T09:26:47Z<p>Ingo Hanke: Informationen für Sponsoren des OWASP Day 2012</p>
<hr />
<div>Informationen für Sponsoren des OWASP Day 2012</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012&diff=130949German OWASP Day 20122012-06-05T09:25:31Z<p>Ingo Hanke: </p>
<hr />
<div>__NOTOC__<br />
<br />
[[Image:2012_owasp_day_w_480px.png|center|Logo 5th German OWASP Day]]<br />
<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center> <br />
<br> <br />
<br />
= OWASP Day 2012 =<br />
=== 5. German OWASP Day 2012 ===<br />
<br />
<span style="font-size:150%"><br />
An dem überaus erfolgreich verlaufenden OWASP Day [https://www.owasp.org/index.php/German_OWASP_Day_2011 2011] wollen wir 2012 anknüpfen. Wir freuen uns auf zahlreiche spannende Einreichungen für die fünfte Inkarnation unserer Konferenz.<br />
</span><br />
<br />
<br />
== Wann ==<br />
Mittwoch, den 7.11.2012, ab 9:00 bis zirka 18:00 Uhr<br />
<br />
== Wo ==<br />
Hotel [http://www.dolcemunich.com/ Dolce Munich Unterschleissheim]<br />
<br />
Andreas-Danzer-Weg 1<br />
85716 Unterschleißheim<br />
Telefon: +49-(89)-370530-0<br />
<br />
<!--<br />
<br />
== Eintrittspreise ==<br />
<br />
Für den OWASP German Day 2012 gelten folgenden Preise (inkl. gesetzl. MwSt.): <br />
<br />
*Nicht-Mitglieder Early Bird: 260,00 €<br />
*Nicht-Mitglieder: 330,00 €<br />
*Mitglieder Early Bird: 220,00 €<br />
*Mitglieder: 260,00 €<br />
*Studenten: 70,00 €.<br />
<br />
(*) Eine Registrierung zu Early-Bird-Preisen ist bis zum XX.10.2012 möglich <br />
<br />
(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen. <br />
<br />
<br><br />
<br />
---><br />
<br />
== Hash tag ==<br />
<br />
[https://twitter.com/#!/search/%23owaspde2012 #owaspde2012] <br />
<br />
<br />
== Wir danken unseren Sponsoren ==<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:8em" | Platin<br />
|-<br />
| [[Image:Optimabit logo 692.33p.jpg|left|228x51px|link=http://www.optimabit.com/|www.optimabit.com]]<br />
|}<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Gold <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Silber <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Bronze<br />
|-<br />
| [[Image:Sicsec-130x39.png|left|link=http://www.sicsec.de/|www.sicsec.de]] <br />
| <!-- silber --> <br />
| [[Image:Telecons.kl.jpg|left|link=http://www.tele-consulting.com|www.tele-consulting.com]]<br />
|}<br />
<br />
<br />
<br />
<br />
<br />
== ==<br />
<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2012 <top>] <br />
<br />
<br />
<br />
<br />
= Konferenzdaten =<br />
=== Konferenzdaten ===<br />
<br />
== Wo ==<br />
<br />
Die Konferenz findet im [http://maps.google.de/maps?f=q&source=s_q&hl=en&geocode=&q=nh+muenchen+dornach+Einsteinring&aq=&g=Einsteinring+20,+85609+Munich&ie=UTF8&hq=nh&hnear=Einsteinring,+Dornach+85609+Aschheim,+M%C3%BCnchen,+Bayern&ll=48.147019,11.714859&spn=0.048105,0.13175&z=14 NH-Hotel München Dornach] statt. <br />
<br />
Die Vorabendveranstaltung wird im Augustiner Bräu München stattfinden. <br />
<br />
== Wann ==<br />
<br />
*Vorabendveranstaltung: Dienstag, den 6.11.2012, ab 19:30<br />
*Konferenz: Mittwoch, den 7.11.2012, 9h-18h<br />
<br />
<br />
== Organisation ==<br />
<br />
*Birgit Bernskötter (Extern) <br />
<br />
*[[User:Hartwig Gelhausen|Hartwig Gelhausen]]<br />
*[[User:Ingo Hanke|Ingo Hanke]]<br />
*[[User:Achim|Achim Hoffmann]] (Board Member) <br />
*Martin Johns <br />
*[[User:Bruce Sams|Bruce Sams]] (Board Member) <br />
*[[User:Emin Tatli|Emin Tatli]]<br />
*[[User:Dirk Wetter|Dirk Wetter]]<br />
<br />
<br />
== Hash tag ==<br />
<br />
[https://twitter.com/#!/search/%23owasp_d2011 #owasp_d2011] <br />
<br />
<br />
= Anreise und Unterkunft =<br />
=== Anreise und Unterkunft ===<br />
<br />
== Veranstaltungsort ==<br />
Die Konferenz findet am '''7.11.2012''' im Hotel '''[http://www.dolcemunich.com/ Dolce Munich Unterschleissheim]''' statt.<br />
<br />
Adresse:<br />
<br />
Andreas-Danzer-Weg 1<br />
<br />
85716 Unterschleißheim<br />
<br />
Telefon: +49-(89)-370530-0<br />
<br />
Web: [http://www.dolcemunich.com www.dolcemunich.com]<br />
<br />
<br />
'''Anfahrt / Karte''': [http://maps.google.com/maps?q=dolce+hotel+unterschleissheim&ie=UTF8&ll=48.281822,11.614609&spn=0.422213,0.585709&oe=utf-8&fb=1&hq=dolce+hotel&hnear=0x479e71b56804dedb:0x41d25a40937a470,Unterschlei%C3%9Fheim,+Germany&cid=0,0,7184167378370716309&t=m&z=11 Google Maps]<br />
<br />
== Unterkünfte ==<br />
Für den OWASP Day sind Abrufkontingente in folgenden Hotels vereinbart:<br />
<br />
<br />
'''Dolce Munich Unterschleißheim'''<br />
<br />
Andreas-Danzer-Weg 1<br />
<br />
85716 Unterschleißheim bei München<br />
<br />
Telefon: +49-89-370 530 0<br />
<br />
[http://www.dolcemunich.com www.dolcemunich.com]<br />
<br />
Preis: 189 € Einzelzimmer, 219 € Doppelzimmer inkl. MWSt. + Frühstück<br />
<br />
Reservierung über: [https://resweb.passkey.com/Resweb.do?mode=welcome_ei_new&eventID=9632115 https://resweb.passkey.com/Resweb.do?mode=welcome_ei_new&eventID=9632115]<br />
<br />
<br />
'''Best Western ApartHotel München'''<br />
<br />
Dachauer Straße 199<br />
<br />
80637 München<br />
<br />
Web: [http://www.bestwestern.de/hotels/Muenchen/BEST-WESTERN-ApartHotel-Muenchen http://www.bestwestern.de/hotels/Muenchen/BEST-WESTERN-ApartHotel-Muenchen]<br />
<br />
Email: info@apart-bestwestern.de<br />
<br />
Preis: 87 € inkl. MWSt. + Frühstück<br />
<br />
Reservierung telefonisch: 089-15 92 57-0<br />
<br />
Stichwort "German OWASP Day"<br />
<br />
<br />
'''Winters Hotel München GmbH'''<br />
<br />
Arnulfstr. 12<br />
<br />
80335 München <br />
<br />
Telefon: +49 (0) 89 55139-0<br />
<br />
Telefax:+49 (0) 89 5934-03 <br />
<br />
Web: [http://www.winters-hotel-muenchen-city-center.de http://www.winters-hotel-muenchen-city-center.de] <br />
<br />
Email: hotelmuenchen@winters.de<br />
<br />
Preis: 75 €<br />
<br />
Stichwort: "German OWASP Day"<br />
<br />
<br />
= Abendveranstaltung =<br />
=== Abendveranstaltung ===<br />
<br />
== Wann ==<br />
Dienstag, den 6.11.2012, ab 19:30<br />
<br />
== Wo ==<br />
[http://www.braeustuben.de/lokal.php Augustiner Bräustuben], Landsberger Str. 19, 80339 München<br />
[http://maps.google.de/maps?q=LANDSBERGER+STRASSE+19+80339+M%C3%9CNCHEN&hq=&hnear=0x479e7601b699ffd5:0x4be4ced9008a615b,Landsberger+Stra%C3%9Fe+19,+D-80339+M%C3%BCnchen&gl=de&ei=12GhTpmxPMTusga_h73pAg&sa=X&oi=geocode_result&ct=image&resnum=1&ved=0CB0Q8gEwAA Stadtplan und Streetview]<br />
<br />
Raum Alte Schmiede<br />
<br />
== Anreise ==<br />
<br />
=== S-Bahn ===<br />
* Vom Hauptbahnhof: S1, S2, S3, S4, S6, S7, S8 bis Hackerbrücke, dann ca. 5 Minuten Fußweg (Hackerbrücke Richtung Süden, Grasserstr. bis Landsbergerstr., dann rechts bis zur nächsten Straße links)<br />
* Vom Westen (z.B. Pasing): S3, S4, S6, S8 bis Hackerbrücke, dann wie vom Hauptbahnhof<br />
[http://efa.mvv-muenchen.de/mvv/XSLT_TRIP_REQUEST2 Fahrplanauskunft]<br />
<br />
=== Hauptbahnhof ===<br />
(Ausgang Süd) ca. 15 Minuten, zu Fuß Bayerstraße Richtung Westen, weiter in Landsbergerstr. bis Nr. 19<br />
<br />
=== Auto ===<br />
* Vom Westen (z.B. Autobahnende A8): am Autobahnende rechts nach Pasing, dort links in Richtung München Zentrum, wird zur Landsbergerstr.<br />
* alle anderen Richtungen über Mittlerer Ring West bis Donnersbergerbrücke, dort Richtung München Zentrum, ist die Landsbergerstr.<br />
<br />
<br />
<br />
<br />
= CfP =<br />
=== CfP und Speaker Agreement ===<br />
<br />
Das Programmkomitee freut sich wieder auf zahlreiche und spannende Beiträge zum OWASP Day 2012. Fachliche Details, Deadlines und mehr sind dem <br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/CfP|CfP]]</span> zu entnehmen.<br />
<br />
<br />
= Sponsoren =<br />
=== Sponsoren ===<br />
<br />
Auch dieses Jahr gibt es wieder die Möglichkeit für interessierte Firmen, Ihren Support für das Open Web Application Security Project zu zeigen und sich in verschiedenen Formen während des OWASP Days 2012 zu präsentieren. <br />
<br />
Auch 2012 wird es wieder die Möglichkeit zum Sponsoring geben.<br />
<br />
== Infos für Sponsoren ==<br />
<br />
Als Sponsor des German OWASP Day 2012 setzen Sie ein klares Zeichen: Sie unterstützen ''den'' deutschen Branchentreffpunkt im Bereich Web Application Security und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet. <br />
<br />
Dieses Jahr findet die deutsche OWASP-Konferenz wieder in München statt. Im Rahmen einer konferenzbegleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen oder beispielsweise nach klugen Köpfen suchen. Wir erwarten zwischen 150 – 200 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- und Telekommunikationsindustrie. Wir bieten Ihnen die Möglichkeit des “Platinum, Gold-, Silber oder Bronze-Sponsorings”. Ihr Logo mit Link ist in jedem Fall bei uns auf der Landing Page.<br />
<br />
<br />
Mehr Infos zum Sponsoring sind [[Media:Uebersicht-Sponsoring-OWASP-Day-2012.pdf|diesem PDF]] zu entnehmen. <br />
<br />
<br />
Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und [https://www.owasp.org/index.php/About_OWASP#Tax_Status:_501.28c.29.283.29_Not-For-Profit_Organization gemeinnützigen] OWASP Foundation (501c3 Not-For-Profit). <br />
<br />
== Sponsor-Level ==<br />
<br />
Wir bieten Ihnen vier verschiedene Level, die in Preis und Leistung differieren:<br />
<br />
* Platin: 5000 €<br />
* Gold: 2500 €<br />
* Silber: 1250 €<br />
* Bronze: 625 €<br />
<br />
Bezüglich der Gegenleistungen, die Sie dafür erwarten können, wird Ihnen Frau Bernskötter Rede und Antwort stehen.<br />
<br />
<br><br />
<br />
== Kontakt ==<br />
<br />
[mailto:birgitb@bernskoetter.de Birgit Bernskötter (BB Marketing Services)]<br />
<br />
[mailto:orga2012@owasp.de orga2012@owasp.de] <br />
<br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O<br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2011]]<br />
--> <br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]]</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=File:Optimabit_logo_692.33p.jpg&diff=129795File:Optimabit logo 692.33p.jpg2012-05-14T15:07:03Z<p>Ingo Hanke: </p>
<hr />
<div>2011: Gold Sponsor<br />
2012: Platin Sponsor</div>Ingo Hankehttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012&diff=129794German OWASP Day 20122012-05-14T15:04:46Z<p>Ingo Hanke: </p>
<hr />
<div>__TOC__<br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]]<br />
<br />
[[Image:2012_owasp_day_w_480px.png|center|Logo 5th German OWASP Day]]<br />
<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center> <br />
<br> <br />
<br />
<span style="font-size:150%"><br />
An dem überaus erfolgreich verlaufenden OWASP Day [https://www.owasp.org/index.php/German_OWASP_Day_2011 2011] wollen wir 2012 anknüpfen. Wir freuen uns auf zahlreiche spannende Einreichungen für die fünfte Inkarnation unserer Konferenz.<br />
</span><br />
<br />
<br />
== Wann ==<br />
Mittwoch, den 7.11.2012, ab 9:00 bis zirka 18:00 Uhr<br />
<br />
== Wo ==<br />
Hotel [http://www.dolcemunich.com/ Dolce Munich Unterschleissheim]<br />
<br />
Andreas-Danzer-Weg 1<br />
<br />
85716 Unterschleißheim<br />
<br />
Telefon: +49-(89)-370530-0<br />
<br />
<br />
Karte: [http://maps.google.com/maps?q=dolce+hotel+unterschleissheim&ie=UTF8&ll=48.281822,11.614609&spn=0.422213,0.585709&oe=utf-8&fb=1&hq=dolce+hotel&hnear=0x479e71b56804dedb:0x41d25a40937a470,Unterschlei%C3%9Fheim,+Germany&cid=0,0,7184167378370716309&t=m&z=11 Google Maps]<br />
<br />
== Call for Presentations ==<br />
<br />
Das Programmkomitee freut sich wieder auf zahlreiche und spannende Beiträge zum OWASP Day 2012. Fachliche Details, Deadlines und mehr sind dem <br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/CfP|CfP]]</span> zu entnehmen.<br />
<br />
<br />
== Sponsoren ==<br />
<br />
Auch dieses Jahr gibt es wieder die Möglichkeit für interessierte Firmen, Ihren Support für das Open Web Application Security Project zu zeigen und sich in verschiedenen Formen während des OWASP Days 2012 zu präsentieren. Nähere Informationen sind den <br />
<span style="text-decoration: underline">[[German_OWASP_Day_2012/Sponsoren|Infos für Sponsoren]]</span> zu entnehmen. <br />
<br />
<br />
== Wir danken unseren Sponsoren ==<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" align="left" style="width:99%;margin-bottom:1em;"<br />
| align="left" style="border-bottom:1px solid black;min-width:8em" colspan="3" | Platin<br />
|-<br />
| [[Image:Optimabit logo 692.33p.jpg|left|228x51px|www.optimabit.com]] [http://www.optimabit.com]<br />
<br> <br />
<br />
|-<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Gold <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Silber <br />
| align="left" style="border-bottom:1px solid black;min-width:10em" | Bronze<br />
|-<br />
| [[Image:Sicsec-130x39.png|left|www.sicsec.de]] [http://www.sicsec.de] <br />
<br> <br />
<br />
| <!-- silber --> <br />
<br> <br />
<br />
| <!-- bronze --><br />
<br />
|-<br />
| <br> <br />
<br> <br />
<br />
| <br />
<br> <br />
<br />
| <br />
<br />
|-<br />
| <br />
<br> <br />
<br />
| <br />
| <br />
<br />
|}<br />
<br />
== ==<br />
<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2012 <top>] <br />
<br />
<!--<br />
<br />
== Eintrittspreise ==<br />
<br />
Für den OWASP German Day 2012 gelten folgenden Preise: <br />
<br />
*normaler Teilnehmer (Early Bird) = 219,00 EUR + gesetzl. MwSt (*) <br />
*OWASP-Mitglied (Early Bird) = 189,00 EUR + gesetzl. MwSt (*) <br />
*Studenten = 59 EUR + gesetzl. MwSt = 70,21 EUR (**)<br />
<br />
(*) Eine Registrierung zu Early-Bird-Preisen ist bis zum XX.10.2012 möglich <br />
<br />
(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen. <br />
<br />
<br><br />
<br />
---><br />
<br />
== Hash tag ==<br />
<br />
[https://twitter.com/#!/search/%23owaspde2012 #owaspde2012] <br />
<br />
<br></div>Ingo Hanke