OWASP - User contributions [en]

German OWASP Day 2017

2017-11-15T22:01:14Z

JanWolff: added slides for talk: Cheat Sheet Workshop 2017

'''Der Vorverkauf ist gestartet:''' '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''
[[Category:OWASP_AppSec_Conference]]
[[Category:Europe]]
[[Category:Germany]]
[[Category:German OWASP Day]]

[[Image:TSHIRT_AppSec_Version_3.png|right|TSHIRT_AppSec_Version_3.png]]
__TOC__

== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. 

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.

Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 (https://www.owasp.org/index.php/German_OWASP_Day_2017) zu finden.

== Call For Presentations ==
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen.

== Sponsoring ==
Ist natürlich auch dieses Jahr wieder herzlich willkommen.

Details für Sponsoren finden sich im → [https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet] bzw. Information in English → [https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english].

Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.

Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2017.
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''
|
|-
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]
|
|
|
|-
|[[File:Logo NTTSecurity gmbh2.jpg|link=http://www.nttsecurity.com/|www.nttsecurity.com]]
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]
|
|
|
|-
|[[File:Modusio-trans-FFFFFF.png|link=http://modusio.com/|www.modusio.com]]
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]]
|
|
|
|-
|
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]]
|
|
|-
|
| [[File:Logo-mgm-sp-200.png|link=https://www.mgm-sp.com/|www.mgm-sp.com]]
|
|
|-
|
| [[Image:RuhrSec.png|link=https://www.ruhrsec.de/|www.ruhrsec.de|180x180px]]
|
|
|}

== Wann + Wo ==

=== Konferenzort ===
* Dienstag, den 14. November 2017
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)

=== Vorabendveranstaltung ===
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 13. November ab 19h eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Hudson's - Metropolitan Bar & Dining ab 19:00 Uhr in der Girardetstraße 2, 45131 Essen. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein.

== Programm ==
{| class="FCK__ShowTableBorders" style="width: 80%;" border="0" align="center"
|-
| colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" align="left" |
 '''Dienstag, 14. November 2017'''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Einlass 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00
| style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" align="left" | '''Begrüßung / Welcome''' ''Christian Becker''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Keynote: '''Developers are not the enemy!''' Usable Security for Experts ''Prof. Dr. Matthew Smith (Universität Bonn)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Cheat Sheet Workshop''' [[Media:CheatSheetWorkshopImpressions2017.pdf|(slides)]] Jan Wolff, Rocco Gränitz

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Building secure software with OWASP tools and guides''' ''Martin Knobloch (OWASP)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Kaffeepause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme''' ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Threat Hunting mit Applikations-Logs und Sigma''' ''Thomas Patzke''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs''' ''Giancarlo Pellegrino (CISPA)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Mittagspause / Lunch Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''The Impact of Third-party Code on Android App Security''' ''Erik Derr (CISPA)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''Lighning Talks''' 

* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application
* Robert Merget (Ruhr-Universität Bochum): TLS-Attacker 2.0

|-
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Pause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets''' ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots''' ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Large Scale Analysis of CORS misconfigurations''' ''Jens Müller (Ruhr-Universität Bochum)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Juice Shop 5.x and beyond''' [[Media:GOD17-JuiceShop.pdf|(slides)]] ''Björn Kimminich (Kuehne + Nagel)''
|-
|}

== Talks und Abstracts ==

=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): Developers are not the enemy! Usable Security for Experts ===
''Abstract:'' Usability problems are a major cause of many of today’s IT-security incidents. Security systems are often too complicated, time-consuming, and error prone. For more than a decade researchers in the domain of usable security (USEC) have attempted to combat these problems by conducting interdisciplinary research focusing on the root causes of the problems and on the creation of usable security mechanisms. While major improvements have been made, to date USEC research has focused almost entirely on the non-expert end-user. However, many of the most catastrophic security incidents were not caused by end-users, but by developers or administrators. Heartbleed and Shellshock were both caused by single developers yet had global consequences. The Sony hack in 2014 compromised an entire multi-national IT-infrastructure and misappropriated over 100 TB of data, unnoticed. Fundamentally, every software vulnerability and misconfigured system is caused by developers or administrators making mistakes, but very little research has been done into the underlying causalities and possible mitigation strategies. In this talk we will explore the transition from end-user to expert usable security research and look at several application areas, including TLS, passwords, malware analysis and vulnerability analysis.

''Bio:'' Matthew Smith is a Professor for Usable Security and Privacy at the University of Bonn. His research is focused on human factors of security and privacy mechanisms with a wide range of application areas, including TLS and network security, authentication, mobile and app security and, most recently, usable security for developers and administrators. His work has been published at amongst others IEEE S&P, ACM CCS, USENIX Security, NDSS, ACM SIGCHI and SOUPS the Symposium on Usable Security and Privacy. In 2015 his ERC Starting Grant “Frontiers of Usable Security” was selected for funding.
----

=== Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets'''' ===
''Abstract'': Cross-Site Scripting is a constant problem of the Web platform. Over the years many techniques have been introduced to prevent or mitigate XSS. Most of these techniques, thereby, focus on script tags and event handlers. HTML sanitizers, for example, aim at removing potentially dangerous tags and attributes. Another example is the Content Security Policy, which forbids inline event handlers and aims at white listing of legitimate scripts.

In this talk, we present a novel Web hacking technique that enables an attacker to circumvent most XSS mitigations. In order to do so, the attacker abuses so-called script gadgets. A script gadget Is a legitimate piece of JavaScript in a page that reads elements from the DOM via selectors and processes them in a way that results in script execution. To abuse a script gadget, the attacker injects a benign looking element into the page that matches the gadget's selector. Subsequently, the gadget selects the benign-looking element and executes attacker-controlled scripts. As the initially injected element is benign it passes HTML sanitizers and security policies. The XSS only surfaces when the gadget mistakenly elevates the privileges of the element.

In this talk, we will demonstrate that these gadgets are present in almost all modern JavaScript libraries, APIs and applications. We will present several case studies and real-world examples that demonstrate that many mitigation techniques are not suited for modern applications. As a result, we argue that the Web should start focusing more on preventive mechanisms instead of mitigations.

----

'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''

''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen.

Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt.

''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar.

Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.
----

'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''

''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code.

In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation.

''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.

----

'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''

''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for.
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software.
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level.

----

'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''

''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure.

In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion.

We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems.

''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks.

Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.

----

'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''

''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co.

----

'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''

''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte.

Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.

----

'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''

''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually.

In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites.

''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.

----

'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''

''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.

Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden.

Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.

Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.

Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.

Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.

Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?

----

'''Robert Merget (Ruhr-Universität Bochum): TLS-Attacker 2.0'''

''Abstract'': TLS ist das am weitesten verbreitete Verschlüsselungsprotokoll im Internet und ist aus dem aktuellen IT-Ökosystem nicht mehr wegzudenken. Das Protokoll ist mit den Jahren zunehmend komplexer geworden, was die Angriffsfläche der Implementierungen deutlich erhöht hat. Die Analyse des Protokolls ist gleichzeitig stets schwieriger geworden, sodass das Auffinden von Schwachstellen immer unzugänglicher geworden ist. Dieser Talk stellt das open-source Framework TLS-Attacker 2.0 vor, welches es Forschern und Penetration Testern erlaubt TLS Implementierungen systematisch auf Schwachstellen zu untersuchen. Mit TLS-Attacker ist es möglich eigene TLS-Protokoll-Abläufe mit beliebigen Inhalten mit einer XML-Schnittstelle zu erstellen und die Werte der Nachrichten und Records zur Laufzeit zu modifizieren. TLS-Attacker befindet sich momentan in reger Entwicklung und wird stetig weiterentwickelt. In diesem Talk wird das Framework in einer Live-Demo vorgestellt, sowie die neuesten Änderungen des Projekts präsentiert.

''Bio'': Robert Merget ist Wissenschaftlicher Mitarbeiter an der Ruhr-Universität-Bochum am Lehrstuhl für Netz- und Datensicherheit und hat 2016 seinen Masterabschluss in IT-Sicherheit gemacht. Er ist Experte im Bereich TLS und entwickelt im Rahmen seiner Forschungsarbeit in Kooperation mit der Hackmanit GmbH das TLS-Angriffswerkzeug "TLS-Attacker". Darüber hinaus ist er ebenfalls auf das automatische aufdecken von Sicherheitslücken in Softwareprodukten spezialisiert.

----

'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''

''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen.
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden.

----

'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''

''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information.
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly.
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.

----

'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''

''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!

----

'''Jan Wolff, Rocco Gränitz : OWASP Cheat Sheet Workshop'''

''Abstract'': In diesem Jahr hat das OWASP German Chapter zum ersten Mal einen Workshop zur Überarbeitung der OWASP Cheat Sheets organisiert. Dieser Kurzbeitrag gibt einen Einblick auf den Ablauf, die Ergebnisse und was für das nächste Jahr lernen.

== Online-Registrierung / Eintrittspreise ==
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.
* Regulär: 219,00 €
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.

Der Vorverkauf ist gestartet: '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''

== Hash tag ==
<nowiki>#</nowiki>owasp_d2017

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]

File:CheatSheetWorkshopImpressions2017.pdf

2017-11-15T21:57:02Z

JanWolff: Slideset from the German OWASP Day 2017 Impressions from the Cheat Sheet Workshop Germany 2017

Slideset from the German OWASP Day 2017
Impressions from the Cheat Sheet Workshop Germany 2017

German OWASP Day 2017

2017-10-31T10:15:50Z

JanWolff: added abstract for talk: Cheat Sheet Workshop

'''Der Vorverkauf ist gestartet:''' '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''
[[Category:OWASP_AppSec_Conference]]
[[Category:Europe]]
[[Category:Germany]]
[[Category:German OWASP Day]]

[[Image:TSHIRT_AppSec_Version_3.png|right|TSHIRT_AppSec_Version_3.png]]
__TOC__

== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. 

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.

Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 (https://www.owasp.org/index.php/German_OWASP_Day_2017) zu finden.

== Call For Presentations ==
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen.

== Sponsoring ==
Ist natürlich auch dieses Jahr wieder herzlich willkommen.

Details für Sponsoren finden sich im → [https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet] bzw. Information in English → [https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english].

Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.

Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2017.
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''
|
|-
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]
|
|
|
|-
|[[File:Logo NTTSecurity gmbh2.jpg|link=http://www.nttsecurity.com/|www.nttsecurity.com]]
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]
|
|
|
|-
| http://modusio.com/
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]]
|
|
|
|-
|
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]]
|
|
|-
|
| [[Image:Mgm_8700px.png|link=https://www.mgm-sp.com/|www.mgm-sp.com]]
|
|
|-
|
| [[Image:RuhrSec.png|link=https://www.ruhrsec.de/|www.ruhrsec.de|180x180px]]
|
|
|}

== Wann + Wo ==

=== Konferenzort ===
* Dienstag, den 14. November 2017
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)

=== Vorabendveranstaltung ===
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 13. November ab 19h eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Hudson's - Metropolitan Bar & Dining ab 19:00 Uhr in der Girardetstraße 2, 45131 Essen. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein.

== Programm ==
{| class="FCK__ShowTableBorders" style="width: 80%;" border="0" align="center"
|-
| colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" align="left" |
 '''Dienstag, 14. November 2017'''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Einlass 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00
| style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" align="left" | '''Begrüßung / Welcome''' ''Christian Becker''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Keynote: '''Developers are not the enemy!''' Usable Security for Experts ''Prof. Dr. Matthew Smith (Universität Bonn)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Cheat Sheet Workshop''' Jan Wolff, Rocco Gränitz

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Building secure software with OWASP tools and guides''' ''Martin Knobloch (OWASP)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Kaffeepause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme''' ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Threat Hunting mit Applikations-Logs und Sigma''' ''Thomas Patzke''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs''' ''Giancarlo Pellegrino (CISPA)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Mittagspause / Lunch Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''The Impact of Third-party Code on Android App Security''' ''Erik Derr (CISPA)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''Lighning Talks''' 

* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall

|-
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Pause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets''' ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots''' ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Large Scale Analysis of CORS misconfigurations''' ''Jens Müller (Ruhr-Universität Bochum)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Juice Shop 5.x and beyond''' ''Björn Kimminich (Kuehne + Nagel)''
|-
|}

== Talks und Abstracts ==

=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): Developers are not the enemy! Usable Security for Experts ===
''Abstract:'' Usability problems are a major cause of many of today’s IT-security incidents. Security systems are often too complicated, time-consuming, and error prone. For more than a decade researchers in the domain of usable security (USEC) have attempted to combat these problems by conducting interdisciplinary research focusing on the root causes of the problems and on the creation of usable security mechanisms. While major improvements have been made, to date USEC research has focused almost entirely on the non-expert end-user. However, many of the most catastrophic security incidents were not caused by end-users, but by developers or administrators. Heartbleed and Shellshock were both caused by single developers yet had global consequences. The Sony hack in 2014 compromised an entire multi-national IT-infrastructure and misappropriated over 100 TB of data, unnoticed. Fundamentally, every software vulnerability and misconfigured system is caused by developers or administrators making mistakes, but very little research has been done into the underlying causalities and possible mitigation strategies. In this talk we will explore the transition from end-user to expert usable security research and look at several application areas, including TLS, passwords, malware analysis and vulnerability analysis.

''Bio:'' Matthew Smith is a Professor for Usable Security and Privacy at the University of Bonn. His research is focused on human factors of security and privacy mechanisms with a wide range of application areas, including TLS and network security, authentication, mobile and app security and, most recently, usable security for developers and administrators. His work has been published at amongst others IEEE S&P, ACM CCS, USENIX Security, NDSS, ACM SIGCHI and SOUPS the Symposium on Usable Security and Privacy. In 2015 his ERC Starting Grant “Frontiers of Usable Security” was selected for funding.
----

=== Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets'''' ===
''Abstract'': t.b.a.

----

'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''

''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen.

Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt.

''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar.

Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.
----

'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''

''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code.

In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation.

''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.

----

'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''

''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for.
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software.
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level.

----

'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''

''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure.

In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion.

We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems.

''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks.

Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.

----

'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''

''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co.

----

'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''

''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte.

Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.

----

'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''

''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually.

In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites.

''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.

----

'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''

''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.

Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden.

Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.

Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.

Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.

Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.

Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?
----

'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''

''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen.
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden.

----

'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''

''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten.

Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann.

----

'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''

''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information.
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly.
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.

----

'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''

''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!

----

'''Jan Wolff, Rocco Gränitz : OWASP Cheat Sheet Workshop'''
''Abstract'': In diesem Jahr hat das OWASP German Chapter zum ersten Mal einen Workshop zur Überarbeitung der OWASP Cheat Sheets organisiert. Dieser Kurzbeitrag gibt einen Einblick auf den Ablauf, die Ergebnisse und was für das nächste Jahr lernen.

== Online-Registrierung / Eintrittspreise ==
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.
* Regulär: 219,00 €
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.

Der Vorverkauf ist gestartet: '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''

== Hash tag ==
<nowiki>#</nowiki>owasp_d2017

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]

German OWASP Day 2017

2017-10-21T07:34:39Z

JanWolff: added speaker for Cheat Sheet Workshop slot

'''Der Vorverkauf ist gestartet:''' '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''
[[Category:OWASP_AppSec_Conference]]
[[Category:Europe]]
[[Category:Germany]]
[[Category:German OWASP Day]]

[[Image:TSHIRT_AppSec_Version_3.png|right|TSHIRT_AppSec_Version_3.png]]
__TOC__

== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==


Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. 

Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.

Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 (https://www.owasp.org/index.php/German_OWASP_Day_2017) zu finden.

== Call For Presentations ==
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen.

== Sponsoring ==
Ist natürlich auch dieses Jahr wieder herzlich willkommen.

Details für Sponsoren finden sich im → [https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet] bzw. Information in English → [https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english].

Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.
== Wann + Wo ==

=== Konferenzort ===
* Dienstag, den 14. November 2017
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)

=== Vorabendveranstaltung ===
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 13. November ab 19h eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Hudson's - Metropolitan Bar & Dining ab 19:00 Uhr in der Girardetstraße 2, 45131 Essen. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein.

== Programm ==
{| class="FCK__ShowTableBorders" style="width: 80%;" border="0" align="center"
|-
| colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" align="left" |
 '''Dienstag, 14. November 2017'''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Einlass 

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00
| style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" align="left" | '''Begrüßung / Welcome''' ''Christian Becker''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Keynote: '''Developers are not the enemy!''' Usable Security for Experts ''Prof. Dr. Matthew Smith (Universität Bonn)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Cheat Sheet Workshop''' Jan Wolff, Rocco Gränitz

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Building secure software with OWASP tools and guides''' ''Martin Knobloch (OWASP)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Kaffeepause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme''' ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Threat Hunting mit Applikations-Logs und Sigma''' ''Thomas Patzke''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs''' ''Giancarlo Pellegrino (CISPA)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Mittagspause / Lunch Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''The Impact of Third-party Code on Android App Security''' ''Erik Derr (CISPA)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''Lighning Talks''' 

* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall

|-
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Pause / Coffee Break

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets''' ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots''' ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Large Scale Analysis of CORS misconfigurations''' ''Jens Müller (Ruhr-Universität Bochum)''

|-
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Juice Shop 5.x and beyond''' ''Björn Kimminich (Kuehne + Nagel)''
|-
|}

== Talks und Abstracts ==

=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): Developers are not the enemy! Usable Security for Experts ===
''Abstract:'' Usability problems are a major cause of many of today’s IT-security incidents. Security systems are often too complicated, time-consuming, and error prone. For more than a decade researchers in the domain of usable security (USEC) have attempted to combat these problems by conducting interdisciplinary research focusing on the root causes of the problems and on the creation of usable security mechanisms. While major improvements have been made, to date USEC research has focused almost entirely on the non-expert end-user. However, many of the most catastrophic security incidents were not caused by end-users, but by developers or administrators. Heartbleed and Shellshock were both caused by single developers yet had global consequences. The Sony hack in 2014 compromised an entire multi-national IT-infrastructure and misappropriated over 100 TB of data, unnoticed. Fundamentally, every software vulnerability and misconfigured system is caused by developers or administrators making mistakes, but very little research has been done into the underlying causalities and possible mitigation strategies. In this talk we will explore the transition from end-user to expert usable security research and look at several application areas, including TLS, passwords, malware analysis and vulnerability analysis.

''Bio:'' Matthew Smith is a Professor for Usable Security and Privacy at the University of Bonn. His research is focused on human factors of security and privacy mechanisms with a wide range of application areas, including TLS and network security, authentication, mobile and app security and, most recently, usable security for developers and administrators. His work has been published at amongst others IEEE S&P, ACM CCS, USENIX Security, NDSS, ACM SIGCHI and SOUPS the Symposium on Usable Security and Privacy. In 2015 his ERC Starting Grant “Frontiers of Usable Security” was selected for funding.
----

=== Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets'''' ===
''Abstract'': t.b.a.

----

'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''

''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen.

Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt.

''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar.

Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.
----

'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''

''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code.

In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation.

''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.

----

'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''

''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for.
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software.
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level.

----

'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''

''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure.

In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion.

We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems.

''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks.

Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.

----

'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''

''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co.

----

'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''

''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte.

Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.

----

'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''

''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually.

In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites.

''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.

----

'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''

''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.

Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden.

Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.

Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.

Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.

Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.

Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?
----

'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''

''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen.
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden.

----

'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''

''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten.

Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann.

----

'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''

''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information.
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly.
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.

----

'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''

''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!

== Online-Registrierung / Eintrittspreise ==
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.
* Regulär: 219,00 €
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.

Der Vorverkauf ist gestartet: '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''

== Hash tag ==
<nowiki>#</nowiki>owasp_d2017

----
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]

Germany

2017-09-16T11:39:38Z

JanWolff: moved cheat sheet workshop to history of events

__NOTOC__


<div style="height:11em;">[[Image:owasp_germany_logo.png|right]]</div>


----
<div style="background-color:rgb(153,204,255);margin:2em;padding-left:1em;height:8em;">

Save the date! The next '''German OWASP Day''' will be held on '''14.11.2017''' in Essen!

The [[GOD_2017_CFP|Call for Presentations (CfP)]] is now closed. A first program will be announced soon :)
</div>
----

==Über OWASP==
OWASP ist eine unabhängige, weltweite Community mit dem Ziel, die Bedeutung der Sicherheit von Webanwendungen »sichtbar zu machen« Know-How zur Entwicklung und den Betrieb sicherer Webanwendungen zu verbreiten und frei zur Verfugung zu stellen. Sämtliche OWASP-Instrumente, wie Dokumente, Videos, Slides, Podcasts etc. sind kostenlos unter einer freien Lizenz verwendbar.

OWASP ist frei, offen und herstellerunabhängig. Alle Interessierten sind herzlich willkommen etwa in [https://www.owasp.org/index.php/Category:OWASP_Project Projekten] mitzuarbeiten oder nur am Wissen zu partizipieren. Eine prima Gelegenheit sich einen Eindruck zu verschaffen, sind die [[OWASP_German_Chapter_Stammtisch_Initiative|OWASP Stammtische]], die regelmäßig in vielen deutschen Großstädten stattfinden.

== '''OWASP German Chapter''' ==
The chapter leader is [mailto:tobias.glemser@owasp.org Tobias Glemser].

Chapter Board members are (in alphabetical order):
[mailto:achim@owasp.org Achim Hoffmann],
[mailto:alexios.fakos@owasp.org Alexios Fakos],
[mailto:bastian.braun@owasp.org Bastian Braun],
[mailto:bjoern.kimminich@owasp.org Bjoern Kimminich],
[mailto:boris@owasp.org Boris Hempkemeier],
[mailto:christian.becker@owasp.org Christian Becker],
[mailto:dirk@owasp.org Dirk Wetter],
[mailto:henrik.willert@owasp.org Henrik Willert],
[mailto:ingo.hanke@owasp.org Ingo Hanke],
[mailto:jan.wolff@owasp.org Jan Wolff],
[mailto:martin.johns@owasp.org Martin Johns],
[mailto:michael.schaefer@owasp.org Michael Schäfer],
[mailto:ralf.reinhardt@owasp.org Ralf Reinhardt],
[mailto:tobias.glemser@owasp.org Tobias Glemser]

;Twitter: [https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]
;Mailing-Liste: [https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org] [https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]
----

=== Projekte des German Chapter ===
----
Das German Chapter initiiert oder beteiligt sich an [[:Category:OWASP_Project|OWASP Projekten]]. Was das deutsche Chapter auf die Beine gestellt hat, kann sich blicken lassen, ein Ausschnitt:

* OWASP SSL advanced forensic tool - O-Saft
* OWASP Juice Shop
* OWASP Top 10 Privacy Risks Project
* OWASP Top 10 für Entwickler
* OWASP Top 10 2013: Deutsche Übersetzung
* Best Practices: Web Application Firewalls

Mehr? Siehe Liste der [[Germany/Projekte|deutschen Projekte]].

=== OWASP Stammtisch-Initiative ===
----

In mehreren Städten gibt es [[Germany/Stammtisch_Initiative|OWASP-Stammtische]], bei denen man sich in lockerer Runde trifft, um sich auszutauschen, nette Leute kennenzulernen oder ernsthafte Sicherheitsthemen zu diskutieren -- meinstens mit Vortrag.

Aktive Stammtische gibt es (Stand August 2017) in:
[[OWASP_German_Chapter_Stammtisch_Initiative/München|München]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt|Frankfurt]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Stuttgart|Stuttgart]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Köln|Köln]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Hamburg|Hamburg]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Karlsruhe|Karlsruhe]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Dresden|Dresden]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Ruhrpott|Ruhrpott]],
[http://lists.owasp.org/pipermail/owasp-germany/2017-August/001012.html Heilbronn-Franken (neu)]

=== Aktuelleres / Historisches ===
;14.11.2017: [[German_OWASP_Day_2017|9ter German OWASP Day in Essen]]
----
;11./12.09.2017: [[Cheat Sheet Workshop|Cheat Sheet Workshop in Frankfurt]]
;29.11.2016: [[German_OWASP_Day_2016|8ter German OWASP Day in Darmstadt]]
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]
;06.10.2015: Das OWASP German Chapter wird auch in diesem Jahr dank der Unterstützung der Nürnberg Messe auf der it-sa mit einem eigenen Stand (12.0-123) vertreten sein. Wir freuen uns auf spannende Gespräche am Stand.

;13.04.2015: [https://lists.owasp.org/pipermail/owasp-germany/2015-March/000758.html German OWASP Chapter Meeting] in Frankfurt
;23.01.2015: Übesetzung der '''OWASP Top 10 von 2013''' in Deutsch [[Germany/Projekte/Top_10|OWASP Top 10: Deutsche Übersetzung]]
;09.12.2014: [[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]
;14.03.2014: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind [[Germany/Chapter_Meetings|hier]] zu finden.
;20. - 23.08.2013: Das German Chapter veranstaltete die [[AppSecEU2013|OWASP AppSec Europe Research 2013]].
;10.08.2013: Partnerschaft mit dem [http://www.isaca.de/ ISACA Germany Chapter e.V.]: Zum Nutzen für Mitgleider beider Seiten wurde mit dem ISACA Germany Chapter e.V. eine Partnerschaft geschlossen. Die Partnerschaft ermöglicht es Mitgliedern des ISACA Germany Chapter e.V. an der OWASP AppSec Research 2013 zu vergünstigten Konditionen teilzunehmen. Das OWASP German Chapter erhält Gelegenheit auf ISACA Konferenzen präsent zu sein. Wir freuen uns sehr auf die Partnerschaft.
;01.07.2013: Programm für AppSec Research EU 2013 ist [http://owaspappseceu2013.sched.org/ online] 
;10.06.2013: Registrierung für AppSec Research EU 2013 ist hier https://appsec.eu/registration/ .
;17.05.2013: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind [[Germany/Chapter_Meetings|hier]] zu finden.
;22.02.2013: German Chapter Meeting findet am '''17.05.2013''' in Frankfurt statt.
;5.12.2012: Das German Chapter veranstaltet die [[AppSecEU2013|OWASP AppSec Europe Research 2013]].
: The German Chapter is proud announcing [[AppSecEU2013|date and location]] of AppSecEU 2013.
;10.11.2012: [[German_OWASP_Day_2012|German OWASP Day 2012]]: Die hochrangige Websicherheitskonferenz war ein voller Erfolg: Dank gilt allen Besuchern -- gut ein Drittel mehr als letztes Jahr -- Sprechern und Sponsoren.
;07.11.2012: [[Germany/Chaptersponsor|Chapter Sponsoring]] möglich.
;03.11.2012: Webseite des [[Germany|OWASP German Chapter]] neu strukturiert.
;10.09.2012: [[German_OWASP_Day_2012/Programm|Programm]] für [[German_OWASP_Day_2012|German OWASP Day 2012]] in München am 7.11.2012 steht
;13.07.2012: Am Ende der AppSecEU 2012 wurde offiziell verkündet, dass das Deutsche Chapter die AppSec Research 2013 hostet. Ort Hamburg, Zeit: Juli
;02.05.2012: Call for Presentations eröffnet für [[German_OWASP_Day_2012|German OWASP Day 2012]]. Ort: München

Weitere Nachrichten sind [[Germany/Aktuelles|im Archiv]].

=== Unsere Konferenzen ===
----
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]
;09.12.2014: [[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]
;20-23.08.2013: Das German Chapter organisierte die (europäische) [[AppSecEU2013|OWASP AppSec Europe Research 2013]].
;7.11.2012: [[German_OWASP_Day_2012|German OWASP Day 2012]] in München

Eine Liste aller vom OWASP German Chapter durchgeführten Konferenzen ist [[Germany/Konferenzen|hier]] zu finden.

=== Chapter Meetings ===
----
Nächstes Chapter Meeting am '''31.03.2017''' in München, siehe [[Germany/Chapter_Meetings|Chapter Meetings]].

Das German Chapter trifft sich in unregelmäßigen Abständen, um die Arbeit innerhalb des German Chapter zu organisieren. Unser Chapter hat die Besonderheit, dass wir unter unserem Dach, die einzelnen Stammtische haben -- die in anderen Ländern als Chapter organisiert sind. Insofern sind
unsere Chapter Meetings eine Mischung aus Vortrag und Organisation.

Gemäß dem ''O'' in OWASP für ''open'' sind diese Treffen öffentlich. Jedermann kann daran teilnehmen und sich ander Arbeit im Chpater beteiligen. Der Termin zum Treffen -- Chapter Meeting -- wird auf dieser Seite bekannt gegegebn, zusammen mit der Agenda. Selbstverständlich sind auch alle Ergebnisse der Treffen öffentlich. Was auf den vergangenen Treffen jeweils besprochen / beschlossen wurde ist auf der [[Germany/Chapter_Meetings|Chapter Meetings]]-Seite zu finden.

Letztes Chapter Meeting war am '''13.04.2015''' in Frankfurt. Details sind auf der [[Germany/Chapter_Meetings|Chapter Meetings]]-Seite zu finden

=== So erreichen Sie uns ===
----
;E-Mail: ...in Kürze ... 
;Twitter: [https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]
;Mailing-Liste: [https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org] [https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]

Mitarbeit am OWASP German Chapter ist willkommen. Wir freuen uns auf Beiträge in unserer [https://lists.owasp.org/mailman/listinfo/owasp-germany Mailingliste]. Diese sollten natürlich einen Bezug zu (Web-)Anwendungssicherheit haben. Denkbar sind also u. A. Fragen, Tipps, aktuelle Hinweise, Stellenangebote oder Projektgesuche. Es gibt auch ein [https://lists.owasp.org/pipermail/owasp-germany Mailarchiv] von der Liste. Wenn Sie nicht an den Meetings teilnehmen können, kontaktieren Sie einfach einen der German Chapter Board Members (siehe oben) oder schreiben Sie eine E-Mail an uns [mailto:owasp-germany@lists.owasp.org chapter mailing list].

=== Presse ===
----
Informationen für die Presse finden sich [[Germany/press|hier]]

=== Sponsoren des German OWASP Chapters ===


{| style="background-color:inherit;" width="99%"
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]
|-
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]
| [[Image:Cyberday-logo_8700px_square.png|link=https://www.cyberday-gmbh.de|www.cyberday-gmbh.de]]
|-
| [[Image:Banner_TUViT.png|link=https://www.tuvit.de/de|www.tuvit.de]]
| [[Image:xcellent_8700px.png|link=http://www.x-cellent.com|www.x-cellent.com]]
|-
| [[Image:xing_logo.png|link=https://corporate.xing.com/english/company/security-at-xing/|www.xing.com]]
| [[Image:acunetix_max_8700px.png|link=https://www.acunetix.com/|www.acunetix.com]]
|- |
|-
| [[Image:binsec.png|link=http://www.binsec.de/|www.binsec.de]]
|
|- |
|
|
|}

Unser Angebot an Sponsoren / Offer for Chapter Sponsors: [[Germany/Chaptersponsor|OWASP German Chapter Sponsorship]].

----
(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Europe]]

Germany/Cheat Sheet Workshop

2017-09-14T20:27:15Z

JanWolff: added photo, corrected reference of Denial of Service Cheat Sheet

== Update (13.09.2017): ==
The workshop finally took place on 11th/12th of September with people arriving a day before. We had five participants working on the REST Web Services and Denial of Service cheat sheets.

We kicked off the workshop with a remote call with Jim Manico who stayed up late for us in California (thx Jim!). The following two days were filled with brainstorming, discussions and editing... and good food and coffee as well.

[[REST Security Cheat Sheet]]

[[DRAFT Denial of Service Cheat Sheet]]
[[File:OWASP Cheat Sheet Workshop Germany 2017.png|alt=Impressions of the Cheat Sheet Workshop Germany 2017, Collage, Participants|thumb|Impressions of the Cheat Sheet Workshop Germany 2017]]

__NOTOC__

== UPDATE (28.08.2017): ==
We are still looking for two substiute substiutes due to two cancelations. If you want to contribute to cheat sheats about DDOS or REST, JWT, then please '''apply now''' using the easychair link below.

== Join the 1st OWASP Cheat Sheet Workshop with Jim Manico hosted by the German Chapter ==

The German OWASP Chapter will fund a CS workshop to improve existing CS or to develop new ones. Two days of talks, discussions and CS writing are waiting for you. We are looking for a sound mix of experts and volunteers, which want to maintain a CS for a longer time.

'''The format:''' two days, maximal 20 people, we envisioned half of them to be experts (research or practitioners) and the other half to be enthusiatic helpers (preferably from the user group of the cheat sheets). The experts can give talks or moderate discussions and brainstormings for the CS at the first day. The second day is dedicated to writing and peer-reviewing of the results.

'''The topics:''' two topics selected (one for each group of 10 people) from: CSP, Password Handling, TLS Configuration, JSON Web Token, DoS Protection, Privacy

'''The venue:''' we will meet at the conference hotel Collegium Glashütten near Frankfurt, http://www.collegium-glashuetten.de/en/. There will be shuttle transfers from and to Frankfurt main station and Frankfurt Airport to the venue.

'''The schedule:''' the workshop runs at 11./12.09.2017 (Monday and Tuesday). The attendees should arrive at Sunday afternoon. The workshop closes at Tuesday 16:00.

'''The funding:''' the German Chapter will fund the venue (Sunday evening until Tuesday afternoon), including rooms and full board. Attendees can apply for a travel allowances up to 400 EUR.

'''How to apply?''' Apply here to participate: https://easychair.org/conferences/?conf=gocheats17. Please tell us your topic of interest and (optional) your background in this area. The Call for Participation is expected to close at 16.07.2017. The Program Committee (Jim Manico, Martin Knobloch, Martin Johns) will draw the attendees, if there should be more applications than seats.

----
(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Europe]]

File:OWASP Cheat Sheet Workshop Germany 2017.png

2017-09-14T20:25:20Z

JanWolff:

OWASP Cheat Sheet Workshop Germany, 2017, Frankfurt, Participants

Germany/Cheat Sheet Workshop

2017-09-13T17:41:14Z

JanWolff:

== Update (13.09.2017): ==
The workshop finally took place on 11th/12th of September with people arriving a day before. We had five participants working on the REST Web Services and Denial of Service cheat sheets.

We kicked off the workshop with a remote call with Jim Manico who stayed up late for us in California (thx Jim!). The following two days were filled with brainstorming, discussions and editing... and good food and coffee as well.

[[REST Security Cheat Sheet]]

[[Denial of Service Cheat Sheet]]

__NOTOC__

== UPDATE (28.08.2017): ==
We are still looking for two substiute substiutes due to two cancelations. If you want to contribute to cheat sheats about DDOS or REST, JWT, then please '''apply now''' using the easychair link below.

== Join the 1st OWASP Cheat Sheet Workshop with Jim Manico hosted by the German Chapter ==

The German OWASP Chapter will fund a CS workshop to improve existing CS or to develop new ones. Two days of talks, discussions and CS writing are waiting for you. We are looking for a sound mix of experts and volunteers, which want to maintain a CS for a longer time.

'''The format:''' two days, maximal 20 people, we envisioned half of them to be experts (research or practitioners) and the other half to be enthusiatic helpers (preferably from the user group of the cheat sheets). The experts can give talks or moderate discussions and brainstormings for the CS at the first day. The second day is dedicated to writing and peer-reviewing of the results.

'''The topics:''' two topics selected (one for each group of 10 people) from: CSP, Password Handling, TLS Configuration, JSON Web Token, DoS Protection, Privacy

'''The venue:''' we will meet at the conference hotel Collegium Glashütten near Frankfurt, http://www.collegium-glashuetten.de/en/. There will be shuttle transfers from and to Frankfurt main station and Frankfurt Airport to the venue.

'''The schedule:''' the workshop runs at 11./12.09.2017 (Monday and Tuesday). The attendees should arrive at Sunday afternoon. The workshop closes at Tuesday 16:00.

'''The funding:''' the German Chapter will fund the venue (Sunday evening until Tuesday afternoon), including rooms and full board. Attendees can apply for a travel allowances up to 400 EUR.

'''How to apply?''' Apply here to participate: https://easychair.org/conferences/?conf=gocheats17. Please tell us your topic of interest and (optional) your background in this area. The Call for Participation is expected to close at 16.07.2017. The Program Committee (Jim Manico, Martin Knobloch, Martin Johns) will draw the attendees, if there should be more applications than seats.

----
(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Europe]]

Germany/Cheat Sheet Workshop

2017-09-13T17:29:24Z

JanWolff: small summary of the event. (picture still outstanding until confirmed by participants).

== Update (13.09.2017): ==
The workshop finally took place on 11th/12th of September with people arriving a day before. We had five participants working on the REST Web Services and Denial of Service cheat sheets.

We kicked off the workshop with a remote call with Jim Manico who stayed up late for us in California (thx Jim!). The following two days were filled with brainstorming, discussions and editing... and good food and coffee as well.
__NOTOC__

== UPDATE (28.08.2017): ==
We are still looking for two substiute substiutes due to two cancelations. If you want to contribute to cheat sheats about DDOS or REST, JWT, then please '''apply now''' using the easychair link below.

== Join the 1st OWASP Cheat Sheet Workshop with Jim Manico hosted by the German Chapter ==

The German OWASP Chapter will fund a CS workshop to improve existing CS or to develop new ones. Two days of talks, discussions and CS writing are waiting for you. We are looking for a sound mix of experts and volunteers, which want to maintain a CS for a longer time.

'''The format:''' two days, maximal 20 people, we envisioned half of them to be experts (research or practitioners) and the other half to be enthusiatic helpers (preferably from the user group of the cheat sheets). The experts can give talks or moderate discussions and brainstormings for the CS at the first day. The second day is dedicated to writing and peer-reviewing of the results.

'''The topics:''' two topics selected (one for each group of 10 people) from: CSP, Password Handling, TLS Configuration, JSON Web Token, DoS Protection, Privacy

'''The venue:''' we will meet at the conference hotel Collegium Glashütten near Frankfurt, http://www.collegium-glashuetten.de/en/. There will be shuttle transfers from and to Frankfurt main station and Frankfurt Airport to the venue.

'''The schedule:''' the workshop runs at 11./12.09.2017 (Monday and Tuesday). The attendees should arrive at Sunday afternoon. The workshop closes at Tuesday 16:00.

'''The funding:''' the German Chapter will fund the venue (Sunday evening until Tuesday afternoon), including rooms and full board. Attendees can apply for a travel allowances up to 400 EUR.

'''How to apply?''' Apply here to participate: https://easychair.org/conferences/?conf=gocheats17. Please tell us your topic of interest and (optional) your background in this area. The Call for Participation is expected to close at 16.07.2017. The Program Committee (Jim Manico, Martin Knobloch, Martin Johns) will draw the attendees, if there should be more applications than seats.

----
(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Europe]]

Germany/Cheat Sheet Workshop

2017-06-23T18:45:43Z

JanWolff: removed topics without existing cheat sheet

__NOTOC__

== Join the 1st OWASP Cheat Sheet Workshop with Jim Manico hosted by the German Chapter ==

The German OWASP Chapter will fund a CS workshop to improve existing CS or to develop new ones. Two days of talks, discussions and CS writing are waiting for you. We are looking for a sound mix of experts and volunteers, which want to maintain a CS for a longer time.

'''The format:''' two days, maximal 20 people, we envisioned half of them to be experts (research or practitioners) and the other half to be enthusiatic helpers (preferably from the user group of the cheat sheets). The experts can give talks or moderate discussions and brainstormings for the CS at the first day. The second day is dedicated to writing and peer-reviewing of the results.

'''The topics:''' two topics selected (one for each group of 10 people) from: CSP, Password Handling, TLS Configuration, JSON Web Token, DoS Protection, Privacy

'''The venue:''' we will meet at the conference hotel Collegium Glashütten near Frankfurt, http://www.collegium-glashuetten.de/en/. There will be shuttle transfers from and to Frankfurt main station and Frankfurt Airport to the venue.

'''The schedule:''' the workshop runs at 11./12.09.2017 (Monday and Tuesday). The attendees should arrive at Sunday afternoon. The workshop closes at Tuesday 16:00.

'''The funding:''' the German Chapter will fund the venue (Sunday evening until Tuesday afternoon), including rooms and full board. Attendees can apply for a travel allowances up to 400 EUR.

'''How to apply?''' Apply here to participate: https://easychair.org/conferences/?conf=gocheats17. Please tell us your topic of interest and (optional) your background in this area. The Call for Participation is expected to close at 16.07.2017. The Program Committee (Jim Manico, Martin Knobloch, Martin Johns) will draw the attendees, if there should be more applications than seats.

----
(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Europe]]

Germany/Cheat Sheet Workshop

2017-06-23T17:56:33Z

JanWolff: added easychair url and changed woring to encourage non-experts more

__NOTOC__

== Join the 1st OWASP Cheat Sheet Workshop with Jim Manico hosted by the German Chapter ==

The German OWASP Chapter will fund a CS workshop to improve existing CS or to develop new ones. Two days of talks, discussions and CS writing are waiting for you. We are looking for a sound mix of experts and volunteers, which want to maintain a CS for a longer time.

'''The format:''' two days, maximal 20 people, we envisioned half of them to be experts (research or practitioners) and the other half to be enthusiatic helpers (preferably from the user group of the cheat sheets). The experts can give talks or moderate discussions and brainstormings for the CS at the first day. The second day is dedicated to writing and peer-reviewing of the results.

'''The topics:''' two topics selected (one for each group of 10 people) from: CSP, Password Handling, TLS Configuration, JSON Web Token, OAuth/OpenID Connect, Multi-Factor Authentication, DoS Protection, Privacy Enhancing Technologies

'''The venue:''' we will meet at the conference hotel Collegium Glashütten near Frankfurt, http://www.collegium-glashuetten.de/en/. There will be shuttle transfers from and to Frankfurt main station and Frankfurt Airport to the venue.

'''The schedule:''' the workshop runs at 11./12.09.2017 (Monday and Tuesday). The attendees should arrive at Sunday afternoon. The workshop closes at Tuesday 16:00.

'''The funding:''' the German Chapter will fund the venue (Sunday evening until Tuesday afternoon), including rooms and full board. Attendees can apply for a travel allowances up to 400 EUR.

'''How to apply?''' Apply here to participate: https://easychair.org/conferences/?conf=gocheats17. Please tell us your topic of interest and (optional) your background in this area. The Call for Participation is expected to close at 16.07.2017. The Program Committee (Jim Manico, Martin Knobloch, Martin Johns) will draw the attendees, if there should be more applications than seats.

----
(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Europe]]

Germany/Cheat Sheet Workshop

2017-06-15T09:32:43Z

JanWolff: made clear, that one topic will be selected for each group

__NOTOC__

== Join the 1st OWASP Cheat Sheet Workshop with Jim Manico hosted by the German Chapter ==

The German OWASP Chapter will fund a CS workshop to improve existing CS or to develop new ones. Two days of talks, discussions and CS writing are waiting for you. We are looking for a sound mix of experts and volunteers, which want to maintain a CS for a longer time.

'''The format:''' two days, maximal 20 people, half of them should be experts (research or practitioners). The experts can give talks or moderate discussions and brainstormings for the CS at the first day. The second day is dedicated to writing and peer-reviewing of the results.

'''The topics:''' two topics selected (one for each group of 10 people) from: CSP, Password Handling, TLS Configuration, JSON Web Token, OAuth/OpenID Connect, Multi-Factor Authentication, DoS Protection, Privacy Enhancing Technologies

'''The venue:''' we will meet at the conference hotel Collegium Glashütten near Frankfurt, http://www.collegium-glashuetten.de/en/. There will be shuttle transfers from and to Frankfurt main station and Frankfurt Airport to the venue.

'''The schedule:''' the workshop runs at 11./12.09.2017 (Monday and Tuesday). The attendees should arrive at Sunday afternoon. The workshop closes at Tuesday 16:00.

'''The funding:''' the German Chapter will fund the venue (Sunday evening until Tuesday afternoon), including rooms and full board. Attendees can apply for a travel allowances up to 400 EUR.

'''How to apply?''' There is an Easychair page for the application process. Please tell us your topic of interest and your background in this area. The Call for Participation closes at 31.06.2017. The Program Committee (Jim Manico, Martin Knobloch, Martin Johns) will draw the attendees, if there should be more applications than seats.

----
(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Europe]]

File:GOD16-Deserialization.pdf

2016-12-06T22:08:01Z

JanWolff: JanWolff uploaded a new version of "File:GOD16-Deserialization.pdf"

Germany

2016-06-29T13:52:21Z

JanWolff: correct mail address

__NOTOC__


<div style="height:11em;">[[Image:owasp_germany_logo.png|right]]</div>


----

<div style="background-color:rgb(153,204,255);margin:2em;padding-left:1em;height:13em;">

<big style="padding:1em;"></big>

Der [[German_OWASP_Day_2016| 8. German OWASP Day 2016]] findet am '''29.11.2015''' in Darmstadt statt!

</div>
----

==Über OWASP==
OWASP ist eine unabhängige, weltweite Community mit dem Ziel, die Bedeutung der Sicherheit von Webanwendungen »sichtbar zu machen« Know-How zur Entwicklung und den Betrieb sicherer Webanwendungen zu verbreiten und frei zur Verfugung zu stellen. Sämtliche OWASP-Instrumente, wie Dokumente, Videos, Slides, Podcasts etc. sind kostenlos unter einer freien Lizenz verwendbar.

OWASP ist frei, offen und herstellerunabhängig. Alle Interessierten sind herzlich willkommen etwa in [https://www.owasp.org/index.php/Category:OWASP_Project Projekten] mitzuarbeiten oder nur am Wissen zu partizipieren. Eine prima Gelegenheit sich einen Eindruck zu verschaffen, sind die [[OWASP_German_Chapter_Stammtisch_Initiative|OWASP Stammtische]], die regelmäßig in vielen deutschen Großstädten stattfinden.

== '''OWASP German Chapter''' ==
The chapter leader is [mailto:dirk@owasp.org Dirk Wetter].

Chapter Board members are (in alphabetical order):
[mailto:achim@owasp.org Achim Hoffmann],
[mailto:alexios.fakos@owasp.org Alexios Fakos],
[mailto:bastian.braun@owasp.org Bastian Braun],
[mailto:boris@owasp.org Boris],
[mailto:hartwig.gelhausen@owasp.org Hartwig Gelhausen],
[mailto:ingo.hanke@owasp.org Ingo Hanke],
[mailto:?? Jan Philipp],
[mailto:jan.wolff@owasp.org Jan Wolff],
[mailto:kai@owasp.org Kai Jendrian],
[mailto:martin.johns@owasp.org Martin Johns],
[mailto:michael.schaefer@owasp.org Michael Schäfer],
[mailto:tobias.glemser@owasp.org Tobias Glemser],
[mailto:tom.schoen@owasp.org Tom Schoen].

;Twitter: [https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]
;Mailing-Liste: [https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org] [https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]
----

=== Projekte des German Chapter ===
----
Das German Chapter initiiert oder beteiligt sich an [[:Category:OWASP_Project|OWASP Projekten]]. Was das deutsche Chapter auf die Beine gestellt hat, kann sich blicken lassen, ein Ausschnitt:

* OWASP Top 10 Privacy Risks Project
* OWASP Top 10 für Entwickler
* OWASP Top 10 2013: Deutsche Übersetzung
* OWASP SSL advanced forensic tool - O-Saft
* Best Practices: Web Application Firewalls

Mehr? Siehe Liste der [[Germany/Projekte|deutschen Projekte]].

=== OWASP Stammtisch-Initiative ===
----

In mehreren Städten gibt es [[Germany/Stammtisch_Initiative|OWASP-Stammtische]], bei denen man sich in lockerer Runde trifft, um sich auszutauschen, nette Leute kennenzulernen oder ernsthafte Sicherheitsthemen zu diskutieren -- meinstens mit Vortrag.

Aktive Stammtische gibt es (Stand Dezember 2015) in:
[[OWASP_German_Chapter_Stammtisch_Initiative/München|München]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt|Frankfurt]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Stuttgart|Stuttgart]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Köln|Köln]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Hamburg|Hamburg]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Karlsruhe|Karlsruhe]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Dresden|Dresden]],
[[OWASP_German_Chapter_Stammtisch_Initiative/Ruhrpott|Ruhrpott]]

=== Aktuelleres / Historisches ===
;29.11.2015: [[German_OWASP_Day_2016|8ter German OWASP Day in Darmstadt]]
----
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]
;06.10.2015: Das OWASP German Chapter wird auch in diesem Jahr dank der Unterstützung der Nürnberg Messe auf der it-sa mit einem eigenen Stand (12.0-123) vertreten sein. Wir freuen uns auf spannende Gespräche am Stand.

;13.04.2015: [https://lists.owasp.org/pipermail/owasp-germany/2015-March/000758.html German OWASP Chapter Meeting] in Frankfurt
;23.01.2015: Übesetzung der '''OWASP Top 10 von 2013''' in Deutsch [[Germany/Projekte/Top_10|OWASP Top 10: Deutsche Übersetzung]]
;09.12.2014: [[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]
;14.03.2014: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind [[Germany/Chapter_Meetings|hier]] zu finden.
;20. - 23.08.2013: Das German Chapter veranstaltete die [[AppSecEU2013|OWASP AppSec Europe Research 2013]].
;10.08.2013: Partnerschaft mit dem [http://www.isaca.de/ ISACA Germany Chapter e.V.]: Zum Nutzen für Mitgleider beider Seiten wurde mit dem ISACA Germany Chapter e.V. eine Partnerschaft geschlossen. Die Partnerschaft ermöglicht es Mitgliedern des ISACA Germany Chapter e.V. an der OWASP AppSec Research 2013 zu vergünstigten Konditionen teilzunehmen. Das OWASP German Chapter erhält Gelegenheit auf ISACA Konferenzen präsent zu sein. Wir freuen uns sehr auf die Partnerschaft.
;01.07.2013: Programm für AppSec Research EU 2013 ist [http://owaspappseceu2013.sched.org/ online] 
;10.06.2013: Registrierung für AppSec Research EU 2013 ist hier [https://appsec.eu/registration/ https://appsec.eu/registration/] .
;17.05.2013: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind [[Germany/Chapter_Meetings|hier]] zu finden.
;22.02.2013: German Chapter Meeting findet am '''17.05.2013''' in Frankfurt statt.
;5.12.2012: Das German Chapter veranstaltet die [[AppSecEU2013|OWASP AppSec Europe Research 2013]].
: The German Chapter is proud announcing [[AppSecEU2013|date and location]] of AppSecEU 2013.
;10.11.2012: [[German_OWASP_Day_2012|German OWASP Day 2012]]: Die hochrangige Websicherheitskonferenz war ein voller Erfolg: Dank gilt allen Besuchern -- gut ein Drittel mehr als letztes Jahr -- Sprechern und Sponsoren.
;07.11.2012: [[Germany/Chaptersponsor|Chapter Sponsoring]] möglich.
;03.11.2012: Webseite des [[Germany|OWASP German Chapter]] neu strukturiert.
;10.09.2012: [[German_OWASP_Day_2012/Programm|Programm]] für [[German_OWASP_Day_2012|German OWASP Day 2012]] in München am 7.11.2012 steht
;13.07.2012: Am Ende der AppSecEU 2012 wurde offiziell verkündet, dass das Deutsche Chapter die AppSec Research 2013 hostet. Ort Hamburg, Zeit: Juli
;02.05.2012: Call for Presentations eröffnet für [[German_OWASP_Day_2012|German OWASP Day 2012]]. Ort: München

Weitere Nachrichten sind [[Germany/Aktuelles|im Archiv]].

=== Unsere Konferenzen ===
----
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]
;09.12.2014: [[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]
;20-23.08.2013: Das German Chapter organisierte die (europäische) [[AppSecEU2013|OWASP AppSec Europe Research 2013]].
;7.11.2012: [[German_OWASP_Day_2012|German OWASP Day 2012]] in München

Eine Liste aller vom OWASP German Chapter durchgeführten Konferenzen ist [[Germany/Konferenzen|hier]] zu finden.

=== Chapter Meetings ===
----

Das German Chapter trifft sich in unregelmäßigen Abständen, um die Arbeit innerhalb des German Chapter zu organisieren. Unser Chapter hat die Besonderheit, dass wir unter unserem Dach, die einzelnen Stammtische haben -- die in anderen Ländern als Chapter organisiert sind. Insofern sind
unsere Chapter Meetings eine Mischung aus Vortrag und Organisation.

Gemäß dem ''O'' in OWASP für ''open'' sind diese Treffen öffentlich. Jedermann kann daran teilnehmen und sich ander Arbeit im Chpater beteiligen. Der Termin zum Treffen -- Chapter Meeting -- wird auf dieser Seite bekannt gegegebn, zusammen mit der Agenda. Selbstverständlich sind auch alle Ergebnisse der Treffen öffentlich. Was auf den vergangenen Treffen jeweils besprochen / beschlossen wurde ist auf der [[Germany/Chapter_Meetings|Chapter Meetings]]-Seite zu finden.

Letztes Chapter Meeting war am '''13.04.2015''' in Frankfurt. Details sind auf der [[Germany/Chapter_Meetings|Chapter Meetings]]-Seite zu finden

=== So erreichen Sie uns ===
----
;E-Mail: ...in Kürze ... 
;Twitter: [https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]
;Mailing-Liste: [https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org] [https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]

Mitarbeit am OWASP German Chapter ist willkommen. Wir freuen uns auf Beiträge in unserer [https://lists.owasp.org/mailman/listinfo/owasp-germany Mailingliste]. Diese sollten natürlich einen Bezug zu (Web-)Anwendungssicherheit haben. Denkbar sind also u. A. Fragen, Tipps, aktuelle Hinweise, Stellenangebote oder Projektgesuche. Es gibt auch ein [https://lists.owasp.org/pipermail/owasp-germany Mailarchiv] von der Liste. Wenn Sie nicht an den Meetings teilnehmen können, kontaktieren Sie einfach einen der German Chapter Board Members (siehe oben) oder schreiben Sie eine E-Mail an uns [mailto:owasp-germany@lists.owasp.org chapter mailing list].

=== Presse ===
----
Informationen für die Presse finden sich [[Germany/press|hier]]

=== Sponsoren des German OWASP Chapters ===


{| width="99%" style="background-color:inherit;"
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]
|-
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]
| [[Image:Cyberday-logo_8700px_square.png|link=https://www.cyberday-gmbh.de|www.cyberday-gmbh.de]]
|-
| [[Image:Banner_TUViT.png|link=https://www.tuvit.de/de|www.tuvit.de]]
| [[Image:xcellent_8700px.png|link=http://www.x-cellent.com|www.x-cellent.com]]
|-
| [[Image:xing_logo.png|link=https://corporate.xing.com/english/company/security-at-xing/|www.xing.com]]
| [[Image:acunetix_max_8700px.png|link=https://www.acunetix.com/|www.acunetix.com]]
|-|
|-
| [[Image:binsec.png|link=http://www.binsec.de/|www.binsec.de]]
|
|-|
|
|
|}

Unser Angebot an Sponsoren / Offer for Chapter Sponsors: [[Germany/Chaptersponsor|OWASP German Chapter Sponsorship]].

----
(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]] [[Category:Europe]]

OWASP Java Project WIPRO 1 2015

2016-06-29T09:30:15Z

JanWolff: /* Pages List */

<div style="width:100%;border:0,margin:0;overflow: hidden;">[[File:OWASP_Java_Project_Header.png|link=]]</div>
 

<center>
Wiki Pages Review Operation - 2015/2016
</center>

 

= Main =

{| style="padding: 0;margin:0;margin-top:10px;text-align:left;" |-
| valign="top" style="border-right: 1px dotted gray;padding-right:25px;width:100%" |

91 Pages in category "OWASP Java Pages" have to be reviewed. We use a Google Document where every person interested can let opinions, comments and suggestions. Even reviewing one single page is welcome.

Shared Google document used to comment and review:

https://docs.google.com/spreadsheets/d/13bazikNd5fc9f7ppqMEAxbo0sI3CpOdPgDW5xt3LeMc/edit?usp=sharing

| valign="top" style="padding-left:25px;min-width:200px;border-right: 1px dotted gray;padding-right:25px;" |

== Team ==

 

== Meta ==

* Start: 12/2015
* Last Update: 12/2015

 

== Other Resources ==

N/A

 

| valign="top" style="padding-left:25px;min-width:200px;" |

==Classifications==



|}

= Pages List =

Shared Google document used to write reviews:

https://docs.google.com/spreadsheets/d/13bazikNd5fc9f7ppqMEAxbo0sI3CpOdPgDW5xt3LeMc/edit?usp=sharing

{| class="wikitable"
! Page
! Status
! Review
! Operations
|-
|[[Bytecode obfuscation]]
|
| Outdated but interesting to keep, marked for review. https://www.owasp.org/index.php/Talk:Bytecode_obfuscation
|
|-
|[[Captchas in Java ]]
|
|Updated and not of interest. Marked for deletion.
|DELETED BY ADMIN
|-
|[[Clickjacking Protection for Java EE]]
|
|Flagged for deletion, reason stated on page.
|DELETED BY ADMIN
|-
|[[Command injection in Java]]
|
|Marked for review.
|
|-
|[[Comparing classes by name ]]
|
|Marked for review
|
|-
|[[Complejidad Y Longitud De Las Contraseñas ]]
|
|
|
|-
|[[Content Security Policy ]]
|
|
|
|-
|[[CORS OriginHeaderScrutiny]]
|
|
|
|-
|[[CORS RequestPreflighScrutiny]]
|
|
|
|-
|[[Cross-site Scripting (XSS) ]]
|
| Looks updated
| NO ACTION TAKEN, I: Removed Java tag since it's not really a Java specific isue and only an example was written usign JSP.
|-
|[[Declarative Access Control in Java]]
|
|gone
|Deleted by admin
|-
|[[Decompiling Java bytecode]]
|
|
| DELETED
|-
|[[Deserialization of untrusted data]]
|
| Looks legit
| Looks legit
|-
|[[Detect profiling phase into web application]]
|
|
|
|-
|[[Exception handling techniques ]]
|
|
|
|-
|[[Failure to follow guideline/specification ]]
|
|
|
|-
|[[Hacking Java Clients ]]
|
|
|
|-
|[[Hashing Java]]
| UNDER REVIEW
| Updated by Mark Gordon. Thank you!
| No action needed
|-
|[[Hibernate]]
|
|
|
|-
|[[Hibernate-Guidelines ]]
|
|
|
|-
|[[How to add validation logic to HttpServletRequest]]
|
|
|
|-
|[[How to encrypt a properties file ]]
|
|
|
|-
|[[Implementacion De Firmas Digitales en Java]]
|
|
|
|-
|[[Improper Data Validation]]
|
|
|
|-
|[[Improper temp file opening ]]
|
|
|
|-
|[[Information Leakage]]
|
|
|
|-
|[[Insecure Randomness]]
|
|
|
|-
|[[Insecure Transport]]
|
|
|
|-
|[[Insufficient Session-ID Length]]
|
|
|
|-
|[[Invoking untrusted mobile code]]
|
|
|
|-
|[[Inyección De Comandos En Java ]]
|
|Should we keep the 2 spanish pages? A translation is of course a good thing, but we have only 2 pages whose quality we cannot verify.
|
|-
|[[J2EE Misconfiguration: Unsafe Bean Declaration]]
|
|J2EE is completely outdated and only used in old legacy installation. No new projects are based on this environment. Moreover the page does not contain any useful information. Marked for deletion.
|
|-
|[[J2EE third party libraries insecurity]]
|
|See above. Propose to delete the page since it's not referenced by any other wiki page anymore.
| redirected to dependency check
|-
|[[JAAS Timed Login Module ]]
|
|
| Deleted
|-
|[[JAAS Tomcat Login Module]]
|
|
| Deleted
|-
|[[Java Project Article Wishlist ]]
|
|
|
|-
|[[Java Security Frameworks]]
|
|
| Merged into category page
|-
|[[Java Security Resources ]]
|
|
| Merged into category page
|-
|[[Java Server Faces ]]
|
|
|
|-
|[[JSP errorPage]]
|
|
|
|-
|[[JSP JSTL ]]
|
|
|
|-
|[[Leftover Debug Code]]
|
|
|
|-
|[[Log Forging ]]
|
|
|
|-
|[[Logout]]
|
|
|
|-
|[[Member Field Race Condition]]
|
|
|
|-
|[[Missing Error Handling]]
|
|
|
|-
|[[Mobile Java Security ]]
|
|
|
|-
|[[Null Dereference]]
|
|
|
|-
|[[Object Model Violation: Just One of equals() and hashCode() Defined]]
|
|
|
|-
|[[Often Misused: Authentication ]]
|
|
|
|-
|[[Overly-Broad Catch Block]]
|
|
|
|-
|[[Overly-Broad Throws Declaration]]
|
|
|
|-
|[[OWASP CSRFGuard Project/es ]]
|
|
|
|-
|[[OWASP Java Table of Contents]]
|
|
|
|-
|[[Parameter Validation Filter]]
|
|
|
|-
|[[Password length & complexity]]
|
|
|
|-
|[[Password Management: Hardcoded Password]]
|
|
|
|-
|[[Password Management: Weak Cryptography ]]
|
|
|
|-
|[[Password Plaintext Storage ]]
|
|
|
|-
|[[PDF Attack Filter for Java EE ]]
|
|
|
|-
|[[Poor Logging Practice]]
|
|
|
|-
|[[Preventing LDAP Injection in Java]]
|
|
|
|-
|[[Preventing SQL Injection in Java ]]
|
|
|redirected to sqlI cheatsheet
|-
|[[Process Control]]
|
|
|
|-
|[[Protecting code archives with digital signatures]]
|
|
|
|-
|[[Reflection attack in an auth protocol]]
|
|
|
|-
|[[Return Inside Finally Block]]
|
|
|
|-
|[[Securing tomcat]]
|
|
|
|-
|[[Servlet spec - web.xml]]
|
|
|
|-
|[[Session Fixation]]
|
|
|
|-
|[[Session Timeout]]
|
|
|
|-
|[[Signing jar files with jarsigner ]]
|
|
|
|-
|[[State synchronization error]]
|
|
|
|-
|[[Struts]]
|
|
|
|-
|[[Struts Validation in an ActionForm]]
|
|
|
|-
|[[Struts Validation in validator.xml using an ActionForm]]
|
|
|
|-
|[[Struts XSLT Viewer]]
|
|
|
|-
|[[Traducción Español]]
|
|
|(See spanish page above)
|-
|[[Trust Boundary Violation]]
|
|
|
|-
|[[Trustworthy Java]]
|
|
| Delete
|-
|[[Uncaught exception]]
|
|
|
|-
|[[Unchecked Return Value: Missing Check against Null ]]
|
|
|
|-
|[[Unreleased Resource]]
|
|
|
|-
|[[Unsafe JNI]]
|
|
|
|-
|[[Unsafe Mobile Code]]
|
|
|
|-
|[[Unsafe Reflection ]]
|cleaned, extended
|useful code examples
|marked to be merged with another page on the subject
|-
|[[Using JCaptcha ]]
|
|
| deleted
|-
|[[Using the Java Cryptographic Extensions]]
|
|
|
|-
|[[Using the Java Secure Socket Extensions]]
|
|
|
|-
|[[XPATH Injection Java ]]
|
|
|
|-
|[[OWASP's_ESAPI_Wiki_for_Java!]]
| Check Project Status
|
| The entire ESAPI For Java project needs a review. In progress on ML.
|}

Shared Google document used to write reviews:

https://docs.google.com/spreadsheets/d/13bazikNd5fc9f7ppqMEAxbo0sI3CpOdPgDW5xt3LeMc/edit?usp=sharing

=About=

OWASP Java and JVM Project - Wiki Pages Review Operation 1 - 2015/2016

 

{{Template:Project About
| project_name =OWASP Java Project WIPRO 1 - 2015/2016
| project_description =
| project_license =
| leader_name1 =
| leader_email1 =
| leader_username1 =
| contributor_name1 =
| contributor_email1 =
| contributor_username1 =
| mailing_list_name =
| links_url1 =
| links_name1 =
| links_url2 =
| links_name2 =
}}

__NOTOC__
<headertabs />

 

[[Category:Java]]

Unsafe use of Reflection

2016-06-29T09:24:06Z

JanWolff: removed dead references to ASDR pages, added some explanations to the Description section. moved content to the Risk section where appropriate, added external references

{{Template:Vulnerability}}


Last revision (mm/dd/yy): '''2016-06-29''' (please ''view source'')


[[Categorie:FIXME/merge]]
https://www.owasp.org/index.php/Reflection_injection

==Description==
This vulnerability is caused by unsafe use of the reflection mechanisms in programming languages like Java or C#.

An attacker may be able to create unexpected control flow paths through the application, potentially bypassing security checks. Exploitation of this weakness can result in a limited form of code injection.

==Risk Factors==
If an attacker can supply values that the application then uses to determine which class to instantiate or which method to invoke, the potential exists for the attacker to create control flow paths through the application that were not intended by the application developers. This attack vector may allow the attacker to bypass authentication or access control checks or otherwise cause the application to behave in an unexpected manner.

This situation becomes a doomsday scenario if the attacker can upload files into a location that appears on the application's classpath or add new entries to the application's classpath. Under either of these conditions, the attacker can use reflection to introduce new, presumably malicious, behavior into the application.

==Examples==

A common reason that programmers use the reflection API is to implement their own command dispatcher. The following example shows a command dispatcher that does not use reflection:

<pre>
String ctl = request.getParameter("ctl");
Worker ao = null;
if (ctl.equals("Add")) {
ao = new AddCommand();
} else if (ctl.equals("Modify")) {
ao = new ModifyCommand();
} else {
throw new UnknownActionError();
}
ao.doAction(request);
</pre>

A programmer might refactor this code to use reflection as follows:

<pre>
String ctl = request.getParameter("ctl");
Class cmdClass = Class.forName(ctl + "Command");
Worker ao = (Worker) cmdClass.newInstance();
ao.doAction(request);
</pre>

The refactoring initially appears to offer a number of advantages. There are fewer lines of code, the if/else blocks have been entirely eliminated, and it is now possible to add new command types without modifying the command dispatcher.

However, the refactoring allows an attacker to instantiate any object that implements the Worker interface. If the command dispatcher is still responsible for access control, then whenever programmers create a new class that implements the Worker interface, they must remember to modify the dispatcher's access control code. If they fail to modify the access control code, then some Worker classes will not have any access control.

One way to address this access control problem is to make the Worker object responsible for performing the access control check. An example of the re-refactored code follows:

<pre>
String ctl = request.getParameter("ctl");
Class cmdClass = Class.forName(ctl + "Command");
Worker ao = (Worker) cmdClass.newInstance();
ao.checkAccessControl(request);
ao.doAction(request);
</pre>

Although this is an improvement, it encourages a decentralized approach to access control, which makes it easier for programmers to make access control mistakes.

This code also highlights another security problem with using reflection to build a command dispatcher. An attacker can invoke the default constructor for any kind of object. In fact, the attacker is not even constrained to objects that implement the Worker interface; the default constructor for any object in the system can be invoked. If the object does not implement the Worker interface, a ClassCastException will be thrown before the assignment to ao, but if the constructor performs operations that work in the attacker's favor, the damage will already have been done. Although this scenario is relatively benign in simple applications, in larger applications where complexity grows exponentially it is not unreasonable that an attacker could find a constructor to leverage as part of an attack.

==Related [[Attacks]]==

* [[Attack 1]]
* [[Attack 2]]

==Related [[Vulnerabilities]]==

* [[Vulnerability 1]]
* [[Vulnerabiltiy 2]]

==Related [[Controls]]==

* [[:Category:Input Validation]]

==Related [[Technical Impacts]]==

* [[Technical Impact 1]]
* [[Technical Impact 2]]

==References==
# CWE-470: Use of Externally-Controlled Input to Select Classes or Code ('Unsafe Reflection') https://cwe.mitre.org/data/definitions/470.html
# Wikipedia: Reflection https://en.wikipedia.org/wiki/Reflection_%28computer_programming%29

__NOTOC__

[[Category:Input Validation Vulnerability]]
[[Category:Use of Dangerous API]]
[[Category:OWASP_Java_Project]]
[[Category:Code Snippet]]
[[Category:Implementation]]
[[Category:Vulnerability]]

Unsafe Reflection

2016-06-29T08:55:49Z

JanWolff: JanWolff moved page Unsafe Reflection to Unsafe use of Reflection: clarify the meaning of the title, disambiguation from other attacks like reflected XSS

#REDIRECT [[Unsafe use of Reflection]]

Unsafe use of Reflection

2016-06-29T08:55:49Z

JanWolff: JanWolff moved page Unsafe Reflection to Unsafe use of Reflection: clarify the meaning of the title, disambiguation from other attacks like reflected XSS

{{Template:Vulnerability}}


Last revision (mm/dd/yy): '''02/20/2009''' (please ''view source'')


[[ASDR_TOC_Vulnerabilities|Vulnerabilities Table of Contents]]

==Description==
An attacker may be able to create unexpected control flow paths through the application, potentially bypassing security checks.

If an attacker can supply values that the application then uses to determine which class to instantiate or which method to invoke, the potential exists for the attacker to create control flow paths through the application that were not intended by the application developers. This attack vector may allow the attacker to bypass authentication or access control checks or otherwise cause the application to behave in an unexpected manner.

This situation becomes a doomsday scenario if the attacker can upload files into a location that appears on the application's classpath or add new entries to the application's classpath. Under either of these conditions, the attacker can use reflection to introduce new, presumably malicious, behavior into the application.

==Risk Factors==
TBD

==Examples==

A common reason that programmers use the reflection API is to implement their own command dispatcher. The following example shows a command dispatcher that does not use reflection:

<pre>
String ctl = request.getParameter("ctl");
Worker ao = null;
if (ctl.equals("Add")) {
ao = new AddCommand();
} else if (ctl.equals("Modify")) {
ao = new ModifyCommand();
} else {
throw new UnknownActionError();
}
ao.doAction(request);
</pre>

A programmer might refactor this code to use reflection as follows:

<pre>
String ctl = request.getParameter("ctl");
Class cmdClass = Class.forName(ctl + "Command");
Worker ao = (Worker) cmdClass.newInstance();
ao.doAction(request);
</pre>

The refactoring initially appears to offer a number of advantages. There are fewer lines of code, the if/else blocks have been entirely eliminated, and it is now possible to add new command types without modifying the command dispatcher.

However, the refactoring allows an attacker to instantiate any object that implements the Worker interface. If the command dispatcher is still responsible for access control, then whenever programmers create a new class that implements the Worker interface, they must remember to modify the dispatcher's access control code. If they fail to modify the access control code, then some Worker classes will not have any access control.

One way to address this access control problem is to make the Worker object responsible for performing the access control check. An example of the re-refactored code follows:

<pre>
String ctl = request.getParameter("ctl");
Class cmdClass = Class.forName(ctl + "Command");
Worker ao = (Worker) cmdClass.newInstance();
ao.checkAccessControl(request);
ao.doAction(request);
</pre>

Although this is an improvement, it encourages a decentralized approach to access control, which makes it easier for programmers to make access control mistakes.

This code also highlights another security problem with using reflection to build a command dispatcher. An attacker can invoke the default constructor for any kind of object. In fact, the attacker is not even constrained to objects that implement the Worker interface; the default constructor for any object in the system can be invoked. If the object does not implement the Worker interface, a ClassCastException will be thrown before the assignment to ao, but if the constructor performs operations that work in the attacker's favor, the damage will already have been done. Although this scenario is relatively benign in simple applications, in larger applications where complexity grows exponentially it is not unreasonable that an attacker could find a constructor to leverage as part of an attack.

==Related [[Attacks]]==

* [[Attack 1]]
* [[Attack 2]]

==Related [[Vulnerabilities]]==

* [[Vulnerability 1]]
* [[Vulnerabiltiy 2]]

==Related [[Controls]]==

* [[:Category:Input Validation]]

==Related [[Technical Impacts]]==

* [[Technical Impact 1]]
* [[Technical Impact 2]]

==References==

TBD

__NOTOC__

[[Category:OWASP ASDR Project]]
[[Category:Input Validation Vulnerability]]
[[Category:Use of Dangerous API]]
[[Category:OWASP_Java_Project]]
[[Category:Code Snippet]]
[[Category:Implementation]]
[[Category:Vulnerability]]