https://wiki.owasp.org/api.php?action=feedcontributions&feedformat=atom&user=MartinjOWASP - User contributions [en]2026-05-23T05:52:12ZUser contributionsMediaWiki 1.27.2https://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=234354German OWASP Day 20172017-10-13T08:38:05Z<p>Martinj: /* Programm */ keynote info added</p>
<hr />
<div>'''Der Vorverkauf ist gestartet:''' '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
[[Image:TSHIRT_AppSec_Version_3.png|right|TSHIRT_AppSec_Version_3.png]]<br />
__TOC__<br />
<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 (https://www.owasp.org/index.php/German_OWASP_Day_2017) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im &#8594; <u>[https://www.owasp.org/images/5/54/GOD_2017_Sponsorsheet_DE_2017.pdf Sponsorsheet]</u> bzw. Information in English &#8594; <u>[https://www.owasp.org/images/0/0c/GOD_2017_Sponsorsheet_EN_2017.pdf Sponsorsheet english]</u>.<br />
<br />
Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
=== Vorabendveranstaltung ===<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 13. November ab 19h eingeladen (im Tagungsbeitrag enthalten).<br />
<br />
Wir treffen uns in der Hudson's - Metropolitan Bar & Dining ab 19:00 Uhr in der Girardetstraße 2, 45131 Essen. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein.<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" style="width: 80%;" border="0" align="center"<br />
|-<br />
| colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" align="left" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" align="left" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Keynote: '''Developers are not the enemy!''' Usable Security for Experts <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Cheat Sheet Workshop'''<br>''t.b.a''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" align="center" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="left" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" align="left" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" align="left" | '''OWASP Juice Shop 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): Developers are not the enemy! Usable Security for Experts ===<br />
''Abstract:'' Usability problems are a major cause of many of today’s IT-security incidents. Security systems are often too complicated, time-consuming, and error prone. For more than a decade researchers in the domain of usable security (USEC) have attempted to combat these problems by conducting interdisciplinary research focusing on the root causes of the problems and on the creation of usable security mechanisms. While major improvements have been made, to date USEC research has focused almost entirely on the non-expert end-user. However, many of the most catastrophic security incidents were not caused by end-users, but by developers or administrators. Heartbleed and Shellshock were both caused by single developers yet had global consequences. The Sony hack in 2014 compromised an entire multi-national IT-infrastructure and misappropriated over 100 TB of data, unnoticed. Fundamentally, every software vulnerability and misconfigured system is caused by developers or administrators making mistakes, but very little research has been done into the underlying causalities and possible mitigation strategies. In this talk we will explore the transition from end-user to expert usable security research and look at several application areas, including TLS, passwords, malware analysis and vulnerability analysis.<br />
<br />
''Bio:'' Matthew Smith is a Professor for Usable Security and Privacy at the University of Bonn. His research is focused on human factors of security and privacy mechanisms with a wide range of application areas, including TLS and network security, authentication, mobile and app security and, most recently, usable security for developers and administrators. His work has been published at amongst others IEEE S&P, ACM CCS, USENIX Security, NDSS, ACM SIGCHI and SOUPS the Symposium on Usable Security and Privacy. In 2015 his ERC Starting Grant “Frontiers of Usable Security” was selected for funding.<br />
----<br />
<br />
=== Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets'''' ===<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf ist gestartet: '''[https://www.regonline.com/owaspgermanday2017 Jetzt registrieren!]'''<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=233809German OWASP Day 20172017-09-28T09:45:16Z<p>Martinj: fixed date :)</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2016 (https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren werden wir in Kürze veröffentlichen. Sie können dennoch gerne vorab mit uns in Kontakt treten, um Ihr Sponsor-Paket vorab zu sichern. <br />
<br />
Ihr Ansprechpartner ist [mailto:alexios.fakos@owasp.org Alexios Fakos].<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" border="0" align="center" style="width: 80%;"<br />
|-<br />
| colspan="2" align="left" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 14. November 2017''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Keynote: '''t.b.a''' <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Cheat Sheet Workshop'''<br>''t.b.a''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Juice Shop 4.x, 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): t.b.a. ===<br />
<br />
''Abstract:'' t.b.a.<br />
<br />
----<br />
<br />
Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets''''<br />
<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 4.x, 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook approaches 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 20min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf startet in Kürze<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=233808German OWASP Day 20172017-09-28T09:40:02Z<p>Martinj: /* Talks und Abstracts */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2016 (https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren werden wir in Kürze veröffentlichen. Sie können dennoch gerne vorab mit uns in Kontakt treten, um Ihr Sponsor-Paket vorab zu sichern. <br />
<br />
Ihr Ansprechpartner ist [mailto:alexios.fakos@owasp.org Alexios Fakos].<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
== Programm ==<br />
{| class="FCK__ShowTableBorders" border="0" align="center" style="width: 80%;"<br />
|-<br />
| colspan="2" align="left" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Keynote: '''t.b.a''' <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Cheat Sheet Workshop'''<br>''t.b.a''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Juice Shop 4.x, 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): t.b.a. ===<br />
<br />
''Abstract:'' t.b.a.<br />
<br />
----<br />
<br />
Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets''''<br />
<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. <br />
<br />
Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 4.x, 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook approaches 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 20min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf startet in Kürze<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=233807German OWASP Day 20172017-09-28T09:38:31Z<p>Martinj: /* Programm */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2016 (https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren werden wir in Kürze veröffentlichen. Sie können dennoch gerne vorab mit uns in Kontakt treten, um Ihr Sponsor-Paket vorab zu sichern. <br />
<br />
Ihr Ansprechpartner ist [mailto:alexios.fakos@owasp.org Alexios Fakos].<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Keynote: '''t.b.a''' <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Cheat Sheet Workshop'''<br>''t.b.a''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre (VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Juice Shop 4.x, 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): t.b.a. ===<br />
<br />
''Abstract:'' t.b.a.<br />
<br />
----<br />
<br />
Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets''''<br />
<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
<br />
<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 4.x, 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook approaches 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 20min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf startet in Kürze<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=233806German OWASP Day 20172017-09-28T09:38:09Z<p>Martinj: </p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] <br />
[[Category:Europe]] <br />
[[Category:Germany]] <br />
[[Category:German OWASP Day]]<br />
<br />
== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2016 (https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
== Call For Presentations ==<br />
Der [[GOD_2017_CFP|Call for Presentations]] ist geschlossen. <br />
<br />
== Sponsoring ==<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren werden wir in Kürze veröffentlichen. Sie können dennoch gerne vorab mit uns in Kontakt treten, um Ihr Sponsor-Paket vorab zu sichern. <br />
<br />
Ihr Ansprechpartner ist [mailto:alexios.fakos@owasp.org Alexios Fakos].<br />
== Wann + Wo ==<br />
<br />
=== Konferenzort ===<br />
* Dienstag, den 14. November 2017<br />
* Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Christian Becker''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 09:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Keynote: '''t.b.a''' <br> ''Prof. Dr. Matthew Smith (Universität Bonn)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Cheat Sheet Workshop'''<br>''t.b.a''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Building secure software with OWASP tools and guides'''<br> ''Martin Knobloch (OWASP)''<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme'''<br> ''Pascal Wichmann, Dominik Herrmann (Universität Hamburg)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Threat Hunting mit Applikations-Logs und Sigma'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br> ''Giancarlo Pellegrino (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''The Impact of Third-party Code on Android App Security'''<br> ''Erik Derr (CISPA)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 15:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun (MGM Security Partner): Bot or Not? - Mitigating Automated Threats to Web Applications<br />
* Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen<br />
* Benjamin Kellermann (MGM Security Partner): NinjaDVA - NinjaDVA is not just another damn vulnerable application<br />
* Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:25<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:25 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Invited Talk: '''Breaking XSS mitigations via Script Gadgets'''<br> ''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br> ''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Large Scale Analysis of CORS misconfigurations'''<br> ''Jens Müller (Ruhr-Universität Bochum)'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''OWASP Juice Shop 4.x, 5.x and beyond'''<br> ''Björn Kimminich (Kuehne + Nagel)'' <br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: Prof. Dr. Matthew Smith (Universität Bonn): t.b.a. ===<br />
<br />
''Abstract:'' t.b.a.<br />
<br />
----<br />
<br />
Invited Talk: '''Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets''''<br />
<br />
''Abstract'': t.b.a.<br />
<br />
----<br />
<br />
'''Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen'''<br />
<br />
''Abstract'': PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen. <br />
<br />
Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt. <br />
<br />
''Bios'': Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar. <br />
<br />
Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.<br />
<br />
<br />
----<br />
<br />
'''Erik Derr (CISPA): The Impact of Third-party Code on Android App Security'''<br />
<br />
''Abstract'': Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code. <br />
<br />
In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation. <br />
<br />
''Bio:'' Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.<br />
<br />
----<br />
<br />
'''Martin Knobloch (OWASP): Building secure software with OWASP tools and guides'''<br />
<br />
''Abstract'': All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. <br />
Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. <br />
This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level. <br />
<br />
----<br />
<br />
'''Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots'''<br />
<br />
''Abstract'': Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure. <br />
<br />
In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion. <br />
<br />
We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems. <br />
<br />
''Bios'': Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks. Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.<br />
<br />
----<br />
<br />
'''Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations'''<br />
<br />
''Abstract'': Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co. <br />
<br />
----<br />
<br />
'''Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma'''<br />
<br />
''Abstract'': Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. <br />
<br />
Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.<br />
<br />
----<br />
<br />
'''Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs'''<br />
<br />
''Abstract'': Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually. <br />
<br />
In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites. <br />
<br />
''Bio:'': Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.<br />
<br />
----<br />
<br />
'''Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application'''<br />
<br />
''Abstract'': Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.<br />
<br />
Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden. <br />
<br />
Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.<br />
<br />
Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen.<br />
Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.<br />
<br />
Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.<br />
<br />
Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.<br />
<br />
Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?<br />
----<br />
<br />
'''Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen'''<br />
<br />
''Abstract'': Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. <br />
Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden. <br />
<br />
----<br />
<br />
'''Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall'''<br />
<br />
''Abstract'': Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten. <br />
<br />
Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann. <br />
<br />
----<br />
<br />
'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''<br />
<br />
''Abstract'': One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. <br />
Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. <br />
This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.<br />
<br />
----<br />
<br />
'''Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 4.x, 5.x and beyond'''<br />
<br />
''Abstract'': This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook approaches 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 20min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!<br />
<br />
<br />
== Online-Registrierung / Eintrittspreise ==<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
* Regulär: 219,00 €<br />
* OWASP Member 199,00 € [https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]<br />
* Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
Der Vorverkauf startet in Kürze<br />
<br />
== Hash tag ==<br />
<nowiki>#</nowiki>owasp_d2017<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2017 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=Germany&diff=233181Germany2017-09-12T15:12:16Z<p>Martinj: CfP closed.</p>
<hr />
<div><br />
__NOTOC__<br />
<br />
<!-- NOTOC ging nicht mehr f.d. Übersicht. Leider hat man dem Englischen dann doppelte ÜS. Hoffe, das ist angesichts der schmalen nur englisch verstehenden Leserschaft ok. Denke auch, der Aufwand zur Pflege ist so adäquat<br />
08/2015: NOTOC wieder eingestellt, da kein Englisch mehr, Fehler mit doppelten Zeichen nicht nachvollziehbar<br />
<br />
{{Chapter Template|chaptername=Germany}}<br />
--> <br />
<div style="height:11em;">[[Image:owasp_germany_logo.png|right]]</div><br />
<!-- mediawiki ist zu dumm, um Bilder ordentlich darzustellen, darum das DIV mit style= --><br />
<br />
----<br />
<!-- Top News: auf hellblauem Hintergrund ganz oben auf der Seite --><br />
<div style="background-color:rgb(153,204,255);margin:2em;padding-left:1em;height:8em;"><br />
<!--<br />
[[Image:2016_owasp_day_w_480px.png|200px|right|Logo German OWASP Day 2016]]<br />
--><br />
<big style="padding:1em;"><!-- '''German OWASP Cheat Sheet Workshop''' --></big><br />
<br />
The <b><u>[[Cheat Sheet Workshop]]</u></b> will be held '''11./12.09.2017''' near Frankfurt!<br />
<br />
CfP - Call for Participiants is available at <u>[[https://easychair.org/conferences/?conf=gocheats17 easychair.org/conferences/?conf=gocheats17]]</u>. The Call for Participation is expected to close at 16.07.2017.<br />
</div><br />
<br />
<div style="background-color:rgb(153,204,255);margin:2em;padding-left:1em;height:8em;"><br />
<br />
<br />
<b><u>Save the date!</u></b> The next '''German OWASP Day''' will be held on '''14.11.2017''' in Essen!<br />
<br />
The [[GOD_2017_CFP|Call for Presentations (CfP)]] is now closed. A first program will be announced soon :)<br />
</div><br />
----<br />
<br />
==Über OWASP==<br />
OWASP ist eine unabhängige, weltweite Community mit dem Ziel, die Bedeutung der Sicherheit von Webanwendungen »sichtbar zu machen« Know-How zur Entwicklung und den Betrieb sicherer Webanwendungen zu verbreiten und frei zur Verfugung zu stellen. Sämtliche OWASP-Instrumente, wie Dokumente, Videos, Slides, Podcasts etc. sind kostenlos unter einer freien Lizenz verwendbar.<br />
<br />
OWASP ist frei, offen und herstellerunabhängig. Alle Interessierten sind herzlich willkommen etwa in [https://www.owasp.org/index.php/Category:OWASP_Project Projekten] mitzuarbeiten oder nur am Wissen zu partizipieren. Eine prima Gelegenheit sich einen Eindruck zu verschaffen, sind die <u>[[OWASP_German_Chapter_Stammtisch_Initiative|OWASP Stammtische]]</u>, die regelmäßig in vielen deutschen Großstädten stattfinden. <br />
<br />
== '''OWASP German Chapter''' ==<br />
The chapter leader is [mailto:tobias.glemser@owasp.org Tobias Glemser].<br />
<br />
Chapter Board members are (in alphabetical order):<br />
[mailto:achim@owasp.org Achim Hoffmann],<br />
[mailto:alexios.fakos@owasp.org Alexios Fakos],<br />
[mailto:bastian.braun@owasp.org Bastian Braun],<br />
[mailto:bjoern.kimminich@owasp.org Bjoern Kimminich],<br />
[mailto:boris@owasp.org Boris Hempkemeier],<br />
[mailto:christian.becker@owasp.org Christian Becker],<br />
[mailto:dirk@owasp.org Dirk Wetter],<br />
[mailto:henrik.willert@owasp.org Henrik Willert],<br />
[mailto:ingo.hanke@owasp.org Ingo Hanke],<br />
[mailto:jan.wolff@owasp.org Jan Wolff],<br />
[mailto:martin.johns@owasp.org Martin Johns],<br />
[mailto:michael.schaefer@owasp.org Michael Schäfer],<br />
[mailto:ralf.reinhardt@owasp.org Ralf Reinhardt],<br />
[mailto:tobias.glemser@owasp.org Tobias Glemser] <br />
<br />
<br />
;Twitter: <u>[https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]</u><br />
;Mailing-Liste: <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org]</u> <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u><br />
----<br />
<br />
<br />
=== Projekte des German Chapter ===<br />
----<br />
Das German Chapter initiiert oder beteiligt sich an <u>[[:Category:OWASP_Project|OWASP Projekten]]</u>. Was das deutsche Chapter auf die Beine gestellt hat, kann sich blicken lassen, ein Ausschnitt:<br />
<br />
* OWASP SSL advanced forensic tool - O-Saft<br />
* OWASP Juice Shop<br />
* OWASP Top 10 Privacy Risks Project<br />
* OWASP Top 10 für Entwickler<br />
* OWASP Top 10 2013: Deutsche Übersetzung<br />
* Best Practices: Web Application Firewalls<br />
<br />
Mehr? Siehe Liste der <u>[[Germany/Projekte|deutschen Projekte]]</u>.<br />
<br />
=== OWASP Stammtisch-Initiative ===<br />
----<br />
<br />
In mehreren Städten gibt es <u>[[Germany/Stammtisch_Initiative|OWASP-Stammtische]]</u>, bei denen man sich in lockerer Runde trifft, um sich auszutauschen, nette Leute kennenzulernen oder ernsthafte Sicherheitsthemen zu diskutieren -- meinstens mit Vortrag.<br />
<br />
Aktive Stammtische gibt es (Stand August 2017) in: <br />
[[OWASP_German_Chapter_Stammtisch_Initiative/München|München]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt|Frankfurt]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Stuttgart|Stuttgart]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Köln|Köln]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Hamburg|Hamburg]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Karlsruhe|Karlsruhe]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Dresden|Dresden]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Ruhrpott|Ruhrpott]],<br />
[http://lists.owasp.org/pipermail/owasp-germany/2017-August/001012.html Heilbronn-Franken <b>(neu)</b>]<br />
<br />
=== Aktuelleres / Historisches ===<br />
;14.11.2017: [[German_OWASP_Day_2017|9ter German OWASP Day in Essen]]<br />
----<br />
;29.11.2016: [[German_OWASP_Day_2016|8ter German OWASP Day in Darmstadt]]<br />
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]<br />
;06.10.2015: Das OWASP German Chapter wird auch in diesem Jahr dank der Unterstützung der Nürnberg Messe auf der it-sa mit einem eigenen Stand (12.0-123) vertreten sein. Wir freuen uns auf spannende Gespräche am Stand. <br />
<!--<br />
[[Image:it-sa-2015-Logo-rgb-72dpi.jpg|300px|center|link=https://www.it-sa.de/|Logo it-sa Fair]]<br />
Ich habe das Logo weggenommen, da it-sa eine kommerzielle Organisation ist (dirk)<br />
--><br />
;13.04.2015: <u>[https://lists.owasp.org/pipermail/owasp-germany/2015-March/000758.html German OWASP Chapter Meeting]</u> in Frankfurt <br />
;23.01.2015: Übesetzung der '''OWASP Top 10 von 2013''' in Deutsch <u>[[Germany/Projekte/Top_10|OWASP Top 10: Deutsche Übersetzung]]</u><br />
;09.12.2014: <u>[[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]</u><br />
;14.03.2014: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind <u>[[Germany/Chapter_Meetings|hier]]</u> zu finden.<br />
;20. - 23.08.2013: Das German Chapter veranstaltete die <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
;10.08.2013: Partnerschaft mit dem <u>[http://www.isaca.de/ ISACA Germany Chapter e.V.]</u>: Zum Nutzen für Mitgleider beider Seiten wurde mit dem ISACA Germany Chapter e.V. eine Partnerschaft geschlossen. Die Partnerschaft ermöglicht es Mitgliedern des ISACA Germany Chapter e.V. an der OWASP AppSec Research 2013 zu vergünstigten Konditionen teilzunehmen. Das OWASP German Chapter erhält Gelegenheit auf ISACA Konferenzen präsent zu sein. Wir freuen uns sehr auf die Partnerschaft.<br />
;01.07.2013: Programm für AppSec Research EU 2013 ist <u>[http://owaspappseceu2013.sched.org/ online]</u> <!-- http://sched.appsec.eu/ ist Tracking-Seite, grrrr --><br />
;10.06.2013: Registrierung für AppSec Research EU 2013 ist hier <u>https://appsec.eu/registration/</u> .<br />
;17.05.2013: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind <u>[[Germany/Chapter_Meetings|hier]]</u> zu finden.<br />
;22.02.2013: German Chapter Meeting findet am '''17.05.2013''' in Frankfurt statt.<br />
;5.12.2012: Das German Chapter veranstaltet die <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
: The German Chapter is proud announcing <u>[[AppSecEU2013|date and location]]</u> of AppSecEU 2013.<br />
;10.11.2012: <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]:</u> Die hochrangige Websicherheitskonferenz war ein voller Erfolg: Dank gilt allen Besuchern -- gut ein Drittel mehr als letztes Jahr -- Sprechern und Sponsoren.<br />
;07.11.2012: <u>[[Germany/Chaptersponsor|Chapter Sponsoring]]</u> möglich.<br />
;03.11.2012: Webseite des [[Germany|OWASP German Chapter]] neu strukturiert.<br />
;10.09.2012: <u>[[German_OWASP_Day_2012/Programm|Programm]]</u> für <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u> in München am 7.11.2012 steht<br />
;13.07.2012: Am Ende der AppSecEU 2012 wurde offiziell verkündet, dass das Deutsche Chapter die AppSec Research 2013 hostet. Ort Hamburg, Zeit: Juli <br />
;02.05.2012: Call for Presentations eröffnet für <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u>. Ort: München<br />
<br />
Weitere Nachrichten sind <u>[[Germany/Aktuelles|im Archiv]]</u>.<br />
<br />
=== Unsere Konferenzen ===<br />
----<br />
;01.12.2015: <u>[[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]</u><br />
;09.12.2014: <u>[[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]</u><br />
;20-23.08.2013: Das German Chapter organisierte die (europäische) <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
;7.11.2012: <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u> in München<br />
<br />
Eine Liste aller vom OWASP German Chapter durchgeführten Konferenzen ist <u>[[Germany/Konferenzen|hier]]</u> zu finden.<br />
<br />
=== Chapter Meetings ===<br />
----<br />
Nächstes Chapter Meeting am '''31.03.2017''' in München, siehe <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>.<br />
<br />
Das German Chapter trifft sich in unregelmäßigen Abständen, um die Arbeit innerhalb des German Chapter zu organisieren. Unser Chapter hat die Besonderheit, dass wir unter unserem Dach, die einzelnen Stammtische haben -- die in anderen Ländern als Chapter organisiert sind. Insofern sind<br />
unsere Chapter Meetings eine Mischung aus Vortrag und Organisation.<br />
<br />
Gemäß dem ''O'' in OWASP für ''open'' sind diese Treffen öffentlich. Jedermann kann daran teilnehmen und sich ander Arbeit im Chpater beteiligen. Der Termin zum Treffen -- Chapter Meeting -- wird auf dieser Seite bekannt gegegebn, zusammen mit der Agenda. Selbstverständlich sind auch alle Ergebnisse der Treffen öffentlich. Was auf den vergangenen Treffen jeweils besprochen / beschlossen wurde ist auf der <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>-Seite zu finden.<br />
<br />
Letztes Chapter Meeting war am '''13.04.2015''' in Frankfurt. Details sind auf der <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>-Seite zu finden<br />
<br />
=== So erreichen Sie uns ===<br />
----<br />
;E-Mail: ...in Kürze ... <!-- [mailto:kontakt@owasp.de] [mailto:info@owasp.de] --><br />
;Twitter: <u>[https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]</u><br />
;Mailing-Liste: <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org]</u> <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u><br />
<br />
Mitarbeit am OWASP German Chapter ist willkommen. Wir freuen uns auf Beiträge in unserer <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany Mailingliste]</u>. Diese sollten natürlich einen Bezug zu (Web-)Anwendungssicherheit haben. Denkbar sind also u. A. Fragen, Tipps, aktuelle Hinweise, Stellenangebote oder Projektgesuche. Es gibt auch ein <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u> von der Liste. Wenn Sie nicht an den Meetings teilnehmen können, kontaktieren Sie einfach einen der German Chapter Board Members (siehe oben) oder schreiben Sie eine E-Mail an uns [mailto:owasp-germany@lists.owasp.org chapter mailing list].<br />
<br />
=== Presse ===<br />
----<br />
Informationen für die Presse finden sich <u>[[Germany/press|hier]]</u><br />
<br />
<br />
=== Sponsoren des German OWASP Chapters ===<br />
<br />
<!-- Sponsoren: bitte 3-spaltige Tabelle benutzen, damit genuegend Abstand zwischen den Bildern --><br />
{| width="99%" style="background-color:inherit;"<br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]<br />
|-<br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
| [[Image:Cyberday-logo_8700px_square.png|link=https://www.cyberday-gmbh.de|www.cyberday-gmbh.de]]<br />
|-<br />
| [[Image:Banner_TUViT.png|link=https://www.tuvit.de/de|www.tuvit.de]]<br />
| [[Image:xcellent_8700px.png|link=http://www.x-cellent.com|www.x-cellent.com]]<br />
|-<br />
| [[Image:xing_logo.png|link=https://corporate.xing.com/english/company/security-at-xing/|www.xing.com]]<br />
| [[Image:acunetix_max_8700px.png|link=https://www.acunetix.com/|www.acunetix.com]]<br />
|- |<br />
|-<br />
| [[Image:binsec.png|link=http://www.binsec.de/|www.binsec.de]]<br />
| <br />
|- |<br />
|<br />
|<br />
|}<br />
<br />
Unser Angebot an Sponsoren / Offer for Chapter Sponsors: <u>[[Germany/Chaptersponsor|OWASP German Chapter Sponsorship]]</u>.<br />
<br />
<br />
<br />
----<br />
<small>(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)</small><br />
<br />
[[Category:Germany]] <br />
[[Category:Europe]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017/CfP&diff=231930German OWASP Day 2017/CfP2017-07-31T06:58:42Z<p>Martinj: /* Programmkomitee */</p>
<hr />
<div><!--<br />
{{TOC left}}<br />
--><br />
== Deutscher OWASP-Tag 2017 (DE) ==<br />
<br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal! Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14.11.2017 in Essen statt.<br />
<br />
=== Call For Presentations ===<br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch, Vorträge in Englisch sind auch willkommen. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketing.<br />
<br />
Herstellern und Dienstleistern bieten wir im Rahmen des Sponsorings eine geeignete Marketingplattform.<br />
<br />
=== Fachliches ===<br />
Für Vortragsvorschläge bitten wir um eine Kurzzusammenfassung und -- sofern vorhanden --um eine Vorabversion des Vortrags. Die Zusammenfassung sollte nicht weniger als 500 (maximal: 4000) Zeichen lang sein. (Bitte auf Orthographie achten, da die Zusammenfassung so, wie sie ist, ggf. im Programm erscheint). Die gilt ebenso für die obligatorische Kurzbiographie (150-800 Zeichen). Die Präsentationen werden voraussichtlich 20 oder 40 Minuten dauern, plus 5 Minuten Diskussion.<br />
<br />
Erwünscht sind alle Themen mit Bezug zu (Web)-Applikationssicherheit und OWASP, insbesondere:<br />
<br />
* Praxisrelevante technische Vorträge <br />
* Neue Forschungsergebnisse <br />
* Mobile Security<br />
* Sichere Web- oder Cloud-Anwendungen <br />
* Browsersicherheit<br />
* Sicherheit bei Web Services <br />
* Secure Development Lifecycle<br />
* Datenschutz in Webapplikationen<br />
* Security-Programme für Entwickler, Tester, Architekten und Projektleiter<br />
* Security Management für Webanwendungen<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Statische Code Analyse<br />
* Aktuelle Ergebnisse und Erfahrungen mit emerging technologies (z.B. Machine Learning oder Block Chain)<br />
* Neues zu OWASP-Projekten <br />
<br />
Wir bieten einen Track an. Folien der Vorträge werden unter der freien OWASP-Lizenz auf der Konferenzwebseite veröffentlicht. Daher muss spätestens bei Annahme des Beitrags durch das Programmkomitee das <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> ohne Änderung akzeptiert und unterschrieben werden. Das Speaker Agreement sieht vor, dass die Standardfoliensätze von OWASP verwendet werden (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Kosten (für Reise und Unterkunft) können wir leider nicht übernehmen.<br />
<br />
'''Alle Teilnehmer sowie Vortragende sind herzlich zur Abendveranstaltung am Vorabend eingeladen (Details werden noch bekannt gegeben).'''<br />
<br />
=== Programmkomitee ===<br />
* Martin Johns, SAP Research <br />
* Boris Hemkemeier, OWASP <br />
* Tim Guenther, Context Information Security<br />
* Henrik Willert, 1&1 Internet SE<br />
* Bastian Braun, mgm security partners GmbH<br />
* Juraj Somorovsky, Horst Görtz Institute, Ruhr University Bochum<br />
* Giancarlo Pellegrino, Saarland University<br />
* Mario Heiderich, Cure53<br />
* Sebastian Schinzel, Münster University of Applied Sciences<br />
* Jan Wolff, Bosch <br />
* Christian Becker, OWASP<br />
<br />
=== Termine / Einreichung ===<br />
<br />
Einreichungen ausschließlich online bis zum '''01. September 2017''' über https://easychair.org/conferences/?conf=owaspger17<br />
<br />
* Bitte geben Sie alle vortragsrelevanten Informationen an (siehe Call for Presentations oben):<br />
** Abstract<br />
** Bio<br />
** Länge<br />
** ggf. Foliensätze<br />
<br />
* Fristen/Termine<br />
** CfP schließt: 01.09.2017<br />
** Benachrichtigung der Einreicher: 15.09.2017<br />
** Konferenz: 14.11.2017</div>Martinjhttps://wiki.owasp.org/index.php?title=Germany&diff=231426Germany2017-07-07T09:42:15Z<p>Martinj: Added CfP Link</p>
<hr />
<div><br />
__NOTOC__<br />
<br />
<!-- NOTOC ging nicht mehr f.d. Übersicht. Leider hat man dem Englischen dann doppelte ÜS. Hoffe, das ist angesichts der schmalen nur englisch verstehenden Leserschaft ok. Denke auch, der Aufwand zur Pflege ist so adäquat<br />
08/2015: NOTOC wieder eingestellt, da kein Englisch mehr, Fehler mit doppelten Zeichen nicht nachvollziehbar<br />
<br />
{{Chapter Template|chaptername=Germany}}<br />
--> <br />
<div style="height:11em;">[[Image:owasp_germany_logo.png|right]]</div><br />
<!-- mediawiki ist zu dumm, um Bilder ordentlich darzustellen, darum das DIV mit style= --><br />
<br />
----<br />
<!-- Top News: auf hellblauem Hintergrund ganz oben auf der Seite --><br />
<div style="background-color:rgb(153,204,255);margin:2em;padding-left:1em;height:8em;"><br />
<!--<br />
[[Image:2016_owasp_day_w_480px.png|200px|right|Logo German OWASP Day 2016]]<br />
--><br />
<big style="padding:1em;"><!-- '''German OWASP Cheat Sheet Workshop''' --></big><br />
<br />
The <b><u>[[Cheat Sheet Workshop]]</u></b> will be held '''11./12.09.2017''' near Frankfurt!<br />
<br />
CfP - Call for Participiants is available at <u>[[https://easychair.org/conferences/?conf=gocheats17 easychair.org/conferences/?conf=gocheats17]]</u>. The Call for Participation is expected to close at 16.07.2017.<br />
</div><br />
<br />
<div style="background-color:rgb(153,204,255);margin:2em;padding-left:1em;height:8em;"><br />
<br />
<br />
<b><u>Save the date!</u></b> The next '''German OWASP Day''' will be held on '''14.11.2017''' in Essen!<br />
<br />
The [[GOD_2017_CFP|Call for Presentations (CfP)]] is already open! Fire up your editors and submit your great results :)<br />
</div><br />
----<br />
<br />
==Über OWASP==<br />
OWASP ist eine unabhängige, weltweite Community mit dem Ziel, die Bedeutung der Sicherheit von Webanwendungen »sichtbar zu machen« Know-How zur Entwicklung und den Betrieb sicherer Webanwendungen zu verbreiten und frei zur Verfugung zu stellen. Sämtliche OWASP-Instrumente, wie Dokumente, Videos, Slides, Podcasts etc. sind kostenlos unter einer freien Lizenz verwendbar.<br />
<br />
OWASP ist frei, offen und herstellerunabhängig. Alle Interessierten sind herzlich willkommen etwa in [https://www.owasp.org/index.php/Category:OWASP_Project Projekten] mitzuarbeiten oder nur am Wissen zu partizipieren. Eine prima Gelegenheit sich einen Eindruck zu verschaffen, sind die <u>[[OWASP_German_Chapter_Stammtisch_Initiative|OWASP Stammtische]]</u>, die regelmäßig in vielen deutschen Großstädten stattfinden. <br />
<br />
== '''OWASP German Chapter''' ==<br />
The chapter leader is [mailto:tobias.glemser@owasp.org Tobias Glemser].<br />
<br />
Chapter Board members are (in alphabetical order):<br />
[mailto:achim@owasp.org Achim Hoffmann],<br />
[mailto:alexios.fakos@owasp.org Alexios Fakos],<br />
[mailto:bastian.braun@owasp.org Bastian Braun],<br />
[mailto:bjoern.kimminich@owasp.org Bjoern Kimminich],<br />
[mailto:boris@owasp.org Boris Hempkemeier],<br />
[mailto:christian.becker@owasp.org Christian Becker],<br />
[mailto:dirk@owasp.org Dirk Wetter],<br />
[mailto:henrik.willert@owasp.org Henrik Willert],<br />
[mailto:ingo.hanke@owasp.org Ingo Hanke],<br />
[mailto:jan.wolff@owasp.org Jan Wolff],<br />
[mailto:martin.johns@owasp.org Martin Johns],<br />
[mailto:michael.schaefer@owasp.org Michael Schäfer],<br />
[mailto:ralf.reinhardt@owasp.org Ralf Reinhardt],<br />
[mailto:tobias.glemser@owasp.org Tobias Glemser] <br />
<br />
<br />
;Twitter: <u>[https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]</u><br />
;Mailing-Liste: <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org]</u> <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u><br />
----<br />
<br />
<br />
=== Projekte des German Chapter ===<br />
----<br />
Das German Chapter initiiert oder beteiligt sich an <u>[[:Category:OWASP_Project|OWASP Projekten]]</u>. Was das deutsche Chapter auf die Beine gestellt hat, kann sich blicken lassen, ein Ausschnitt:<br />
<br />
* OWASP SSL advanced forensic tool - O-Saft<br />
* OWASP Juice Shop<br />
* OWASP Top 10 Privacy Risks Project<br />
* OWASP Top 10 für Entwickler<br />
* OWASP Top 10 2013: Deutsche Übersetzung<br />
* Best Practices: Web Application Firewalls<br />
<br />
Mehr? Siehe Liste der <u>[[Germany/Projekte|deutschen Projekte]]</u>.<br />
<br />
=== OWASP Stammtisch-Initiative ===<br />
----<br />
<br />
In mehreren Städten gibt es <u>[[Germany/Stammtisch_Initiative|OWASP-Stammtische]]</u>, bei denen man sich in lockerer Runde trifft, um sich auszutauschen, nette Leute kennenzulernen oder ernsthafte Sicherheitsthemen zu diskutieren -- meinstens mit Vortrag.<br />
<br />
Aktive Stammtische gibt es (Stand Dezember 2015) in: <br />
[[OWASP_German_Chapter_Stammtisch_Initiative/München|München]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt|Frankfurt]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Stuttgart|Stuttgart]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Köln|Köln]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Hamburg|Hamburg]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Karlsruhe|Karlsruhe]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Dresden|Dresden]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Ruhrpott|Ruhrpott]]<br />
<br />
=== Aktuelleres / Historisches ===<br />
;14.11.2017: [[German_OWASP_Day_2017|9ter German OWASP Day in Essen]]<br />
----<br />
;29.11.2016: [[German_OWASP_Day_2016|8ter German OWASP Day in Darmstadt]]<br />
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]<br />
;06.10.2015: Das OWASP German Chapter wird auch in diesem Jahr dank der Unterstützung der Nürnberg Messe auf der it-sa mit einem eigenen Stand (12.0-123) vertreten sein. Wir freuen uns auf spannende Gespräche am Stand. <br />
<!--<br />
[[Image:it-sa-2015-Logo-rgb-72dpi.jpg|300px|center|link=https://www.it-sa.de/|Logo it-sa Fair]]<br />
Ich habe das Logo weggenommen, da it-sa eine kommerzielle Organisation ist (dirk)<br />
--><br />
;13.04.2015: <u>[https://lists.owasp.org/pipermail/owasp-germany/2015-March/000758.html German OWASP Chapter Meeting]</u> in Frankfurt <br />
;23.01.2015: Übesetzung der '''OWASP Top 10 von 2013''' in Deutsch <u>[[Germany/Projekte/Top_10|OWASP Top 10: Deutsche Übersetzung]]</u><br />
;09.12.2014: <u>[[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]</u><br />
;14.03.2014: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind <u>[[Germany/Chapter_Meetings|hier]]</u> zu finden.<br />
;20. - 23.08.2013: Das German Chapter veranstaltete die <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
;10.08.2013: Partnerschaft mit dem <u>[http://www.isaca.de/ ISACA Germany Chapter e.V.]</u>: Zum Nutzen für Mitgleider beider Seiten wurde mit dem ISACA Germany Chapter e.V. eine Partnerschaft geschlossen. Die Partnerschaft ermöglicht es Mitgliedern des ISACA Germany Chapter e.V. an der OWASP AppSec Research 2013 zu vergünstigten Konditionen teilzunehmen. Das OWASP German Chapter erhält Gelegenheit auf ISACA Konferenzen präsent zu sein. Wir freuen uns sehr auf die Partnerschaft.<br />
;01.07.2013: Programm für AppSec Research EU 2013 ist <u>[http://owaspappseceu2013.sched.org/ online]</u> <!-- http://sched.appsec.eu/ ist Tracking-Seite, grrrr --><br />
;10.06.2013: Registrierung für AppSec Research EU 2013 ist hier <u>[https://appsec.eu/registration/ https://appsec.eu/registration/]</u> .<br />
;17.05.2013: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind <u>[[Germany/Chapter_Meetings|hier]]</u> zu finden.<br />
;22.02.2013: German Chapter Meeting findet am '''17.05.2013''' in Frankfurt statt.<br />
;5.12.2012: Das German Chapter veranstaltet die <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
: The German Chapter is proud announcing <u>[[AppSecEU2013|date and location]]</u> of AppSecEU 2013.<br />
;10.11.2012: <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]:</u> Die hochrangige Websicherheitskonferenz war ein voller Erfolg: Dank gilt allen Besuchern -- gut ein Drittel mehr als letztes Jahr -- Sprechern und Sponsoren.<br />
;07.11.2012: <u>[[Germany/Chaptersponsor|Chapter Sponsoring]]</u> möglich.<br />
;03.11.2012: Webseite des [[Germany|OWASP German Chapter]] neu strukturiert.<br />
;10.09.2012: <u>[[German_OWASP_Day_2012/Programm|Programm]]</u> für <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u> in München am 7.11.2012 steht<br />
;13.07.2012: Am Ende der AppSecEU 2012 wurde offiziell verkündet, dass das Deutsche Chapter die AppSec Research 2013 hostet. Ort Hamburg, Zeit: Juli <br />
;02.05.2012: Call for Presentations eröffnet für <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u>. Ort: München<br />
<br />
Weitere Nachrichten sind <u>[[Germany/Aktuelles|im Archiv]]</u>.<br />
<br />
=== Unsere Konferenzen ===<br />
----<br />
;01.12.2015: <u>[[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]</u><br />
;09.12.2014: <u>[[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]</u><br />
;20-23.08.2013: Das German Chapter organisierte die (europäische) <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
;7.11.2012: <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u> in München<br />
<br />
Eine Liste aller vom OWASP German Chapter durchgeführten Konferenzen ist <u>[[Germany/Konferenzen|hier]]</u> zu finden.<br />
<br />
=== Chapter Meetings ===<br />
----<br />
Nächstes Chapter Meeting am '''31.03.2017''' in München, siehe <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>.<br />
<br />
Das German Chapter trifft sich in unregelmäßigen Abständen, um die Arbeit innerhalb des German Chapter zu organisieren. Unser Chapter hat die Besonderheit, dass wir unter unserem Dach, die einzelnen Stammtische haben -- die in anderen Ländern als Chapter organisiert sind. Insofern sind<br />
unsere Chapter Meetings eine Mischung aus Vortrag und Organisation.<br />
<br />
Gemäß dem ''O'' in OWASP für ''open'' sind diese Treffen öffentlich. Jedermann kann daran teilnehmen und sich ander Arbeit im Chpater beteiligen. Der Termin zum Treffen -- Chapter Meeting -- wird auf dieser Seite bekannt gegegebn, zusammen mit der Agenda. Selbstverständlich sind auch alle Ergebnisse der Treffen öffentlich. Was auf den vergangenen Treffen jeweils besprochen / beschlossen wurde ist auf der <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>-Seite zu finden.<br />
<br />
Letztes Chapter Meeting war am '''13.04.2015''' in Frankfurt. Details sind auf der <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>-Seite zu finden<br />
<br />
=== So erreichen Sie uns ===<br />
----<br />
;E-Mail: ...in Kürze ... <!-- [mailto:kontakt@owasp.de] [mailto:info@owasp.de] --><br />
;Twitter: <u>[https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]</u><br />
;Mailing-Liste: <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org]</u> <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u><br />
<br />
Mitarbeit am OWASP German Chapter ist willkommen. Wir freuen uns auf Beiträge in unserer <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany Mailingliste]</u>. Diese sollten natürlich einen Bezug zu (Web-)Anwendungssicherheit haben. Denkbar sind also u. A. Fragen, Tipps, aktuelle Hinweise, Stellenangebote oder Projektgesuche. Es gibt auch ein <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u> von der Liste. Wenn Sie nicht an den Meetings teilnehmen können, kontaktieren Sie einfach einen der German Chapter Board Members (siehe oben) oder schreiben Sie eine E-Mail an uns [mailto:owasp-germany@lists.owasp.org chapter mailing list].<br />
<br />
=== Presse ===<br />
----<br />
Informationen für die Presse finden sich <u>[[Germany/press|hier]]</u><br />
<br />
<br />
=== Sponsoren des German OWASP Chapters ===<br />
<br />
<!-- Sponsoren: bitte 3-spaltige Tabelle benutzen, damit genuegend Abstand zwischen den Bildern --><br />
{| width="99%" style="background-color:inherit;"<br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]<br />
|-<br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
| [[Image:Cyberday-logo_8700px_square.png|link=https://www.cyberday-gmbh.de|www.cyberday-gmbh.de]]<br />
|-<br />
| [[Image:Banner_TUViT.png|link=https://www.tuvit.de/de|www.tuvit.de]]<br />
| [[Image:xcellent_8700px.png|link=http://www.x-cellent.com|www.x-cellent.com]]<br />
|-<br />
| [[Image:xing_logo.png|link=https://corporate.xing.com/english/company/security-at-xing/|www.xing.com]]<br />
| [[Image:acunetix_max_8700px.png|link=https://www.acunetix.com/|www.acunetix.com]]<br />
|-|<br />
|-<br />
| [[Image:binsec.png|link=http://www.binsec.de/|www.binsec.de]]<br />
| <br />
|-|<br />
|<br />
|<br />
|}<br />
<br />
Unser Angebot an Sponsoren / Offer for Chapter Sponsors: <u>[[Germany/Chaptersponsor|OWASP German Chapter Sponsorship]]</u>.<br />
<br />
<br />
<br />
----<br />
<small>(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)</small><br />
<br />
[[Category:Germany]] [[Category:Europe]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=231425German OWASP Day 20172017-07-07T09:40:39Z<p>Martinj: /* German OWASP Day 2017 / Deutscher OWASP-Tag 2017 */</p>
<hr />
<div>== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle weiteren Infos zu der Konferenz und der [[GOD_2017_CFP|Call for Presentations]] erscheinen hier in den nächsten Tagen!<br />
<br />
</span></div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017/CfP&diff=231424German OWASP Day 2017/CfP2017-07-07T09:38:54Z<p>Martinj: First CfP</p>
<hr />
<div><!--<br />
{{TOC left}}<br />
--><br />
<br />
== Deutscher OWASP-Tag 2017 (DE) ==<br />
<br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal! Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14.11.2017 in Essen statt.<br />
<br />
=== Call For Presentations ===<br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch, Vorträge in Englisch sind auch willkommen. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketing.<br />
<br />
Herstellern und Dienstleistern bieten wir im Rahmen des Sponsorings eine geeignete Marketingplattform.<br />
<br />
=== Fachliches ===<br />
Für Vortragsvorschläge bitten wir um eine Kurzzusammenfassung und -- sofern vorhanden --um eine Vorabversion des Vortrags. Die Zusammenfassung sollte nicht weniger als 500 (maximal: 4000) Zeichen lang sein. (Bitte auf Orthographie achten, da die Zusammenfassung so, wie sie ist, ggf. im Programm erscheint). Die gilt ebenso für die obligatorische Kurzbiographie (150-800 Zeichen). Die Präsentationen werden voraussichtlich 20 oder 40 Minuten dauern, plus 5 Minuten Diskussion.<br />
<br />
Erwünscht sind alle Themen mit Bezug zu (Web)-Applikationssicherheit und OWASP, insbesondere:<br />
<br />
* Praxisrelevante technische Vorträge <br />
* Neue Forschungsergebnisse <br />
* Mobile Security<br />
* Sichere Web- oder Cloud-Anwendungen <br />
* Browsersicherheit<br />
* Sicherheit bei Web Services <br />
* Secure Development Lifecycle<br />
* Datenschutz in Webapplikationen<br />
* Security-Programme für Entwickler, Tester, Architekten und Projektleiter<br />
* Security Management für Webanwendungen<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Statische Code Analyse<br />
* Aktuelle Ergebnisse und Erfahrungen mit emerging technologies (z.B. Machine Learning oder Block Chain)<br />
* Neues zu OWASP-Projekten <br />
<br />
Wir bieten einen Track an. Folien der Vorträge werden unter der freien OWASP-Lizenz auf der Konferenzwebseite veröffentlicht. Daher muss spätestens bei Annahme des Beitrags durch das Programmkomitee das <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> ohne Änderung akzeptiert und unterschrieben werden. Das Speaker Agreement sieht vor, dass die Standardfoliensätze von OWASP verwendet werden (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Kosten (für Reise und Unterkunft) können wir leider nicht übernehmen.<br />
<br />
'''Alle Teilnehmer sowie Vortragende sind herzlich zur Abendveranstaltung am Vorabend eingeladen (Details werden noch bekannt gegeben).'''<br />
<br />
=== Programmkomitee ===<br />
<br />
t.b.a.<br />
=== Termine / Einreichung ===<br />
<br />
Einreichungen ausschließlich online bis zum '''01. September 2017''' über https://easychair.org/conferences/?conf=owaspger17<br />
<br />
* Bitte geben Sie alle vortragsrelevanten Informationen an (siehe Call for Presentations oben):<br />
** Abstract<br />
** Bio<br />
** Länge<br />
** ggf. Foliensätze<br />
<br />
* Fristen/Termine<br />
** CfP schließt: 01.09.2017<br />
** Benachrichtigung der Einreicher: 15.09.2017<br />
** Konferenz: 14.11.2017</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=231423German OWASP Day 20172017-07-07T09:32:28Z<p>Martinj: </p>
<hr />
<div>== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle weiteren Infos zu der Konferenz und der [[GOD_2017_CFP|Call for Presentations]] erscheinen hier in den nächsten Tagen!<br />
<br />
</span></div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2017&diff=231418German OWASP Day 20172017-07-07T06:40:18Z<p>Martinj: Initial page</p>
<hr />
<div>== German OWASP Day 2017 / Deutscher OWASP-Tag 2017 ==<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum neunten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 14. November 2017 in Essen statt. <!-- Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. --> <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2017 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von (webbasierten) Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Alle weiteren Infos zu der Konferenz und der Call for Presentations erscheinen hier in den nächsten Tagen!<br />
<br />
</span></div>Martinjhttps://wiki.owasp.org/index.php?title=Germany&diff=231417Germany2017-07-07T06:36:24Z<p>Martinj: </p>
<hr />
<div><br />
__NOTOC__<br />
<br />
<!-- NOTOC ging nicht mehr f.d. Übersicht. Leider hat man dem Englischen dann doppelte ÜS. Hoffe, das ist angesichts der schmalen nur englisch verstehenden Leserschaft ok. Denke auch, der Aufwand zur Pflege ist so adäquat<br />
08/2015: NOTOC wieder eingestellt, da kein Englisch mehr, Fehler mit doppelten Zeichen nicht nachvollziehbar<br />
<br />
{{Chapter Template|chaptername=Germany}}<br />
--> <br />
<div style="height:11em;">[[Image:owasp_germany_logo.png|right]]</div><br />
<!-- mediawiki ist zu dumm, um Bilder ordentlich darzustellen, darum das DIV mit style= --><br />
<br />
----<br />
<!-- Top News: auf hellblauem Hintergrund ganz oben auf der Seite --><br />
<div style="background-color:rgb(153,204,255);margin:2em;padding-left:1em;height:8em;"><br />
<!--<br />
[[Image:2016_owasp_day_w_480px.png|200px|right|Logo German OWASP Day 2016]]<br />
--><br />
<big style="padding:1em;"><!-- '''German OWASP Cheat Sheet Workshop''' --></big><br />
<br />
The <b><u>[[Cheat Sheet Workshop]]</u></b> will be held '''11./12.09.2017''' near Frankfurt!<br />
<br />
CfP - Call for Participiants is available at <u>[[https://easychair.org/conferences/?conf=gocheats17 easychair.org/conferences/?conf=gocheats17]]</u>. The Call for Participation is expected to close at 16.07.2017.<br />
</div><br />
<br />
<div style="background-color:rgb(153,204,255);margin:2em;padding-left:1em;height:8em;"><br />
<br />
<br />
The <b><u>Safe the date!</u></b> the next '''German OWASP Day''' will be held on '''14.11.2017''' in Essen!<br />
<br />
The Call for Presentations (CfP) will be online in the next couple of days!<br />
</div><br />
----<br />
<br />
==Über OWASP==<br />
OWASP ist eine unabhängige, weltweite Community mit dem Ziel, die Bedeutung der Sicherheit von Webanwendungen »sichtbar zu machen« Know-How zur Entwicklung und den Betrieb sicherer Webanwendungen zu verbreiten und frei zur Verfugung zu stellen. Sämtliche OWASP-Instrumente, wie Dokumente, Videos, Slides, Podcasts etc. sind kostenlos unter einer freien Lizenz verwendbar.<br />
<br />
OWASP ist frei, offen und herstellerunabhängig. Alle Interessierten sind herzlich willkommen etwa in [https://www.owasp.org/index.php/Category:OWASP_Project Projekten] mitzuarbeiten oder nur am Wissen zu partizipieren. Eine prima Gelegenheit sich einen Eindruck zu verschaffen, sind die <u>[[OWASP_German_Chapter_Stammtisch_Initiative|OWASP Stammtische]]</u>, die regelmäßig in vielen deutschen Großstädten stattfinden. <br />
<br />
== '''OWASP German Chapter''' ==<br />
The chapter leader is [mailto:tobias.glemser@owasp.org Tobias Glemser].<br />
<br />
Chapter Board members are (in alphabetical order):<br />
[mailto:achim@owasp.org Achim Hoffmann],<br />
[mailto:alexios.fakos@owasp.org Alexios Fakos],<br />
[mailto:bastian.braun@owasp.org Bastian Braun],<br />
[mailto:bjoern.kimminich@owasp.org Bjoern Kimminich],<br />
[mailto:boris@owasp.org Boris Hempkemeier],<br />
[mailto:christian.becker@owasp.org Christian Becker],<br />
[mailto:dirk@owasp.org Dirk Wetter],<br />
[mailto:henrik.willert@owasp.org Henrik Willert],<br />
[mailto:ingo.hanke@owasp.org Ingo Hanke],<br />
[mailto:jan.wolff@owasp.org Jan Wolff],<br />
[mailto:martin.johns@owasp.org Martin Johns],<br />
[mailto:michael.schaefer@owasp.org Michael Schäfer],<br />
[mailto:ralf.reinhardt@owasp.org Ralf Reinhardt],<br />
[mailto:tobias.glemser@owasp.org Tobias Glemser] <br />
<br />
<br />
;Twitter: <u>[https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]</u><br />
;Mailing-Liste: <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org]</u> <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u><br />
----<br />
<br />
<br />
=== Projekte des German Chapter ===<br />
----<br />
Das German Chapter initiiert oder beteiligt sich an <u>[[:Category:OWASP_Project|OWASP Projekten]]</u>. Was das deutsche Chapter auf die Beine gestellt hat, kann sich blicken lassen, ein Ausschnitt:<br />
<br />
* OWASP SSL advanced forensic tool - O-Saft<br />
* OWASP Juice Shop<br />
* OWASP Top 10 Privacy Risks Project<br />
* OWASP Top 10 für Entwickler<br />
* OWASP Top 10 2013: Deutsche Übersetzung<br />
* Best Practices: Web Application Firewalls<br />
<br />
Mehr? Siehe Liste der <u>[[Germany/Projekte|deutschen Projekte]]</u>.<br />
<br />
=== OWASP Stammtisch-Initiative ===<br />
----<br />
<br />
In mehreren Städten gibt es <u>[[Germany/Stammtisch_Initiative|OWASP-Stammtische]]</u>, bei denen man sich in lockerer Runde trifft, um sich auszutauschen, nette Leute kennenzulernen oder ernsthafte Sicherheitsthemen zu diskutieren -- meinstens mit Vortrag.<br />
<br />
Aktive Stammtische gibt es (Stand Dezember 2015) in: <br />
[[OWASP_German_Chapter_Stammtisch_Initiative/München|München]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt|Frankfurt]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Stuttgart|Stuttgart]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Köln|Köln]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Hamburg|Hamburg]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Karlsruhe|Karlsruhe]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Dresden|Dresden]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Ruhrpott|Ruhrpott]]<br />
<br />
=== Aktuelleres / Historisches ===<br />
;14.11.2017: [[German_OWASP_Day_2017|9ter German OWASP Day in Essen]]<br />
----<br />
;29.11.2016: [[German_OWASP_Day_2016|8ter German OWASP Day in Darmstadt]]<br />
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]<br />
;06.10.2015: Das OWASP German Chapter wird auch in diesem Jahr dank der Unterstützung der Nürnberg Messe auf der it-sa mit einem eigenen Stand (12.0-123) vertreten sein. Wir freuen uns auf spannende Gespräche am Stand. <br />
<!--<br />
[[Image:it-sa-2015-Logo-rgb-72dpi.jpg|300px|center|link=https://www.it-sa.de/|Logo it-sa Fair]]<br />
Ich habe das Logo weggenommen, da it-sa eine kommerzielle Organisation ist (dirk)<br />
--><br />
;13.04.2015: <u>[https://lists.owasp.org/pipermail/owasp-germany/2015-March/000758.html German OWASP Chapter Meeting]</u> in Frankfurt <br />
;23.01.2015: Übesetzung der '''OWASP Top 10 von 2013''' in Deutsch <u>[[Germany/Projekte/Top_10|OWASP Top 10: Deutsche Übersetzung]]</u><br />
;09.12.2014: <u>[[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]</u><br />
;14.03.2014: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind <u>[[Germany/Chapter_Meetings|hier]]</u> zu finden.<br />
;20. - 23.08.2013: Das German Chapter veranstaltete die <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
;10.08.2013: Partnerschaft mit dem <u>[http://www.isaca.de/ ISACA Germany Chapter e.V.]</u>: Zum Nutzen für Mitgleider beider Seiten wurde mit dem ISACA Germany Chapter e.V. eine Partnerschaft geschlossen. Die Partnerschaft ermöglicht es Mitgliedern des ISACA Germany Chapter e.V. an der OWASP AppSec Research 2013 zu vergünstigten Konditionen teilzunehmen. Das OWASP German Chapter erhält Gelegenheit auf ISACA Konferenzen präsent zu sein. Wir freuen uns sehr auf die Partnerschaft.<br />
;01.07.2013: Programm für AppSec Research EU 2013 ist <u>[http://owaspappseceu2013.sched.org/ online]</u> <!-- http://sched.appsec.eu/ ist Tracking-Seite, grrrr --><br />
;10.06.2013: Registrierung für AppSec Research EU 2013 ist hier <u>[https://appsec.eu/registration/ https://appsec.eu/registration/]</u> .<br />
;17.05.2013: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind <u>[[Germany/Chapter_Meetings|hier]]</u> zu finden.<br />
;22.02.2013: German Chapter Meeting findet am '''17.05.2013''' in Frankfurt statt.<br />
;5.12.2012: Das German Chapter veranstaltet die <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
: The German Chapter is proud announcing <u>[[AppSecEU2013|date and location]]</u> of AppSecEU 2013.<br />
;10.11.2012: <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]:</u> Die hochrangige Websicherheitskonferenz war ein voller Erfolg: Dank gilt allen Besuchern -- gut ein Drittel mehr als letztes Jahr -- Sprechern und Sponsoren.<br />
;07.11.2012: <u>[[Germany/Chaptersponsor|Chapter Sponsoring]]</u> möglich.<br />
;03.11.2012: Webseite des [[Germany|OWASP German Chapter]] neu strukturiert.<br />
;10.09.2012: <u>[[German_OWASP_Day_2012/Programm|Programm]]</u> für <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u> in München am 7.11.2012 steht<br />
;13.07.2012: Am Ende der AppSecEU 2012 wurde offiziell verkündet, dass das Deutsche Chapter die AppSec Research 2013 hostet. Ort Hamburg, Zeit: Juli <br />
;02.05.2012: Call for Presentations eröffnet für <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u>. Ort: München<br />
<br />
Weitere Nachrichten sind <u>[[Germany/Aktuelles|im Archiv]]</u>.<br />
<br />
=== Unsere Konferenzen ===<br />
----<br />
;01.12.2015: <u>[[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]</u><br />
;09.12.2014: <u>[[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]</u><br />
;20-23.08.2013: Das German Chapter organisierte die (europäische) <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
;7.11.2012: <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u> in München<br />
<br />
Eine Liste aller vom OWASP German Chapter durchgeführten Konferenzen ist <u>[[Germany/Konferenzen|hier]]</u> zu finden.<br />
<br />
=== Chapter Meetings ===<br />
----<br />
Nächstes Chapter Meeting am '''31.03.2017''' in München, siehe <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>.<br />
<br />
Das German Chapter trifft sich in unregelmäßigen Abständen, um die Arbeit innerhalb des German Chapter zu organisieren. Unser Chapter hat die Besonderheit, dass wir unter unserem Dach, die einzelnen Stammtische haben -- die in anderen Ländern als Chapter organisiert sind. Insofern sind<br />
unsere Chapter Meetings eine Mischung aus Vortrag und Organisation.<br />
<br />
Gemäß dem ''O'' in OWASP für ''open'' sind diese Treffen öffentlich. Jedermann kann daran teilnehmen und sich ander Arbeit im Chpater beteiligen. Der Termin zum Treffen -- Chapter Meeting -- wird auf dieser Seite bekannt gegegebn, zusammen mit der Agenda. Selbstverständlich sind auch alle Ergebnisse der Treffen öffentlich. Was auf den vergangenen Treffen jeweils besprochen / beschlossen wurde ist auf der <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>-Seite zu finden.<br />
<br />
Letztes Chapter Meeting war am '''13.04.2015''' in Frankfurt. Details sind auf der <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>-Seite zu finden<br />
<br />
=== So erreichen Sie uns ===<br />
----<br />
;E-Mail: ...in Kürze ... <!-- [mailto:kontakt@owasp.de] [mailto:info@owasp.de] --><br />
;Twitter: <u>[https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]</u><br />
;Mailing-Liste: <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org]</u> <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u><br />
<br />
Mitarbeit am OWASP German Chapter ist willkommen. Wir freuen uns auf Beiträge in unserer <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany Mailingliste]</u>. Diese sollten natürlich einen Bezug zu (Web-)Anwendungssicherheit haben. Denkbar sind also u. A. Fragen, Tipps, aktuelle Hinweise, Stellenangebote oder Projektgesuche. Es gibt auch ein <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u> von der Liste. Wenn Sie nicht an den Meetings teilnehmen können, kontaktieren Sie einfach einen der German Chapter Board Members (siehe oben) oder schreiben Sie eine E-Mail an uns [mailto:owasp-germany@lists.owasp.org chapter mailing list].<br />
<br />
=== Presse ===<br />
----<br />
Informationen für die Presse finden sich <u>[[Germany/press|hier]]</u><br />
<br />
<br />
=== Sponsoren des German OWASP Chapters ===<br />
<br />
<!-- Sponsoren: bitte 3-spaltige Tabelle benutzen, damit genuegend Abstand zwischen den Bildern --><br />
{| width="99%" style="background-color:inherit;"<br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]<br />
|-<br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
| [[Image:Cyberday-logo_8700px_square.png|link=https://www.cyberday-gmbh.de|www.cyberday-gmbh.de]]<br />
|-<br />
| [[Image:Banner_TUViT.png|link=https://www.tuvit.de/de|www.tuvit.de]]<br />
| [[Image:xcellent_8700px.png|link=http://www.x-cellent.com|www.x-cellent.com]]<br />
|-<br />
| [[Image:xing_logo.png|link=https://corporate.xing.com/english/company/security-at-xing/|www.xing.com]]<br />
| [[Image:acunetix_max_8700px.png|link=https://www.acunetix.com/|www.acunetix.com]]<br />
|-|<br />
|-<br />
| [[Image:binsec.png|link=http://www.binsec.de/|www.binsec.de]]<br />
| <br />
|-|<br />
|<br />
|<br />
|}<br />
<br />
Unser Angebot an Sponsoren / Offer for Chapter Sponsors: <u>[[Germany/Chaptersponsor|OWASP German Chapter Sponsorship]]</u>.<br />
<br />
<br />
<br />
----<br />
<small>(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)</small><br />
<br />
[[Category:Germany]] [[Category:Europe]]</div>Martinjhttps://wiki.owasp.org/index.php?title=File:GOD16-DROWN.pdf&diff=225251File:GOD16-DROWN.pdf2017-01-17T09:03:16Z<p>Martinj: Martinj uploaded a new version of &quot;File:GOD16-DROWN.pdf&quot;</p>
<hr />
<div></div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=223830German OWASP Day 20162016-12-02T10:19:22Z<p>Martinj: /* Social Media Response */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security: Facing Information Security Threats''' <br> ''Tobias Millauer (Daimler)'' [[Media:GOD16-Daimler.pdf|(slides)]]<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' [[Media:GOD16-Deserialization.pdf|(slides)]] <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke'' [[Media:GOD16-WASE.pdf|(slides)]]<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk'' [[Media:GOD16-Angularboot.pptx|(slides)]]<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Reverse Engineering Android Apps With CodeInspect'''<br> ''Siegfried Rasthofer''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel'' [[Media:GOD16-NOSQL.pdf|(slides)]]<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun: Der Secure Development Lifecycle in der agilen Praxis <br />
* Björn Kimminich: What's new in OWASP Juice Shop? [[Media:GOD16-Juice.pdf|(slides)]]<br />
* Juraj Somorovsky: TLS-Attacker (Systematic Fuzzing and Testing of TLS Libraries) [[Media:GOD16-Jurai.pdf|(slides)]]<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr'' [[Media:GOD16-agiletesting.pptx|(slides)]]<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel'' [[Media:GOD16-DROWN.pdf|(slides)]]<br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: CarIT Security: Facing Information Security Threats ===<br />
<br />
''Abstract:'' The principal objective of this keynote is to demonstrate existing frameworks, tools and methodologies to face automotive cyber security threats. The main threat for automobile manufacturers is that the car architecture has not been designed for Internet access, whereas in recent years, internet access has been added retrospectively on top of the traditional architecture. Automobiles are nowadays cyber-physical systems, whereby new challenges arise since technologies and development methods for safety are not applicable for security. Information security processes of connected cars have an impact on customer satisfaction as CarIT Security protects the life of vehicle occupants and privacy ensures data protection of personally identifiable information. The role of information security must be to ensure transparency across the threats, whereby the Board of Management must be put in a position to recognize information security threats. Information Security Risk Management provides the opportunity to raise the required management attention.<br />
<br />
''Bio:'' Tobias Millauer is an Information Security Architect CarIT at Daimler’s Global Information Security department, where he advises projects on CarIT Security and ensures CarIT Security Governance. He studied IT Security at the University of Applied Sciences St. Pölten and the Bern University of Applied Sciences. His bachelor thesis examined how business growth through information security will be achieved for automobile manufacturers. Millauer is currently working towards his Master's degree in Information Security Management at University of Applied Sciences Hagenberg with focus on Corporate Governance and Risk Management.<br />
<br />
----<br />
<br />
'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br />
<br />
''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.<br />
<br />
In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.<br />
<br />
----<br />
<br />
'''Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle'''<br />
<br />
''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren. <br />
<br />
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures. <br />
<br />
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.<br />
<br />
----<br />
<br />
'''Matthias Rohr: Sicherheit agil Testen'''<br />
<br />
''Abstract:'' Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden. <br />
<br />
Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints. <br />
<br />
In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen.<br />
<br />
----<br />
<br />
'''Andreas Falk: Sicher in die Cloud mit Angular 2 und Spring Boot'''<br />
<br />
''Abstract:'' Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt.<br />
Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht.<br />
Doch wie steht es um die Sicherheit derartiger Anwendungen?<br />
Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen.<br />
Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend.<br />
Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.<br />
<br />
---- <br />
<br />
'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br />
<br />
''Abstract:'' Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten. <br />
<br />
Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden. <br />
<br />
In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben. <br />
<br />
----<br />
<br />
'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br />
<br />
''Abstract:'' Content Security Policy is a web platform mechanism designed <br />
to mitigate cross-site scripting (XSS), the top security <br />
vulnerability in modern web applications [24]. In this talk, <br />
we take a closer look at the practical benefits of adopting <br />
CSP and identify significant flaws in real-world deployments <br />
that result in bypasses in 94.72% of all distinct policies. <br />
We base our Internet-wide analysis on a search engine corpus <br />
of approximately 100 billion pages from over 1 billion <br />
hostnames; the result covers CSP deployments on 1,680,867 <br />
hosts with 26,011 unique CSP policies – the most comprehensive <br />
study to date. We introduce the security-relevant <br />
aspects of the CSP specification and provide an in-depth <br />
analysis of its threat model, focusing on XSS protections. <br />
We identify three common classes of CSP bypasses and explain <br />
how they subvert the security of a policy. <br />
We then turn to a quantitative analysis of policies deployed <br />
on the Internet in order to understand their security <br />
benefits. We observe that 14 out of the 15 domains <br />
most commonly whitelisted for loading scripts contain unsafe <br />
endpoints; as a consequence, 75.81% of distinct policies <br />
use script whitelists that allow attackers to bypass CSP. In <br />
total, we find that 94.68% of policies that attempt to limit <br />
script execution are ineffective, and that 99.34% of hosts <br />
with CSP use policies that offer no benefit against XSS. <br />
Finally, we propose the ’strict-dynamic’ keyword, an <br />
addition to the specification that facilitates the creation of <br />
policies based on cryptographic nonces, without relying on <br />
domain whitelists. We discuss our experience deploying such <br />
a nonce-based policy in a complex application and provide <br />
guidance to web authors for improving their policies.<br />
<br />
----<br />
<br />
'''Christian Schneider. Java Deserialization Attacks: Angriff & Verteidigung'''<br />
<br />
''Abstract:'' Dieser Talk gibt einen fundierten Überblick über den aktuellen Stand zum Thema Angriffe auf Java Deserialisierung: Nach einer kurzen Analyse des Grundproblems hinter der Verwundbarkeit am Beispiel realer Gadgets lernen Sie die mittlerweile verfügbaren Exploitation-Werkzeuge zur Ausnutzung von Deserialization-Endpoints kennen. Weiterhin werden wertvolle Tipps zum Auffinden von Gadgets und Endpoints mittels statischer Analyse (SAST) sowie dynamisch bei Pentests (DAST) vermittelt. <br />
<br />
Der defensive Part des Talks widmet sich den Möglichkeiten zur Absicherung: Am Beispiel von Bypässen bestimmter Härtungsmaßnahmen werden deren Wirkungsgrade analysiert. Abschließend zeige ich, dass das Thema Java Deserialisierung nicht nur Java direkt betrifft, sondern auch auf der JVM verfügbare andere Sprachen. <br />
<br />
----<br />
<br />
'''Patrick Spiegel. NoSQL Injection revisited'''<br />
<br />
''Abstract:'' In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges, but do they provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “<br />
This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases – MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kinds of requests can be crafted that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.<br />
<br />
----<br />
<br />
'''Siegfried Rasthofer: Reverse Engineering Android Apps With CodeInspect'''<br />
<br />
''Abstract:'' Android malware is getting more and more sophisticated. To impede analysis, modern malware families use various anti-analysis techniques such as packers, detectors for emulators or tamper detection mechanisms. Current static code-analysis tools quickly reach their limits with heavily obfuscated code. Dynamic code analysis tools, on the other hand, are frequently tricked by emulator detection. If malware applications use such techniques in combination, this can causes many automatic code-analysis tools to fail, due to their intrinsic limitations, leaving a manual analysis as the only viable option - a very difficult and time-consuming undertaking.<br />
<br />
To alleviate the problem, we propose CodeInspect, a new integrated reverse-engineering environment targeting sophisticated state-of-the-art malware apps for Android. With features such as interactive debugging on a human readable representation of the application’s bytecode, CodeInspect aims to greatly reduce the time an analyst requires to understand and judge applications. Using CodeInspect, the engineer can debug the app live, can rename (obfuscated) identifiers, jump to definitions, remove or add statements and more. It further includes extensions for a fully-automatic de-obfuscation of reflective method calls, string de-obfuscation and a very precise dataflow tracking component that shows suspicious flows from sensitive sources to public sinks, all of which can be easily used in combination.<br />
<br />
In this talk, we will introduce CodeInspect and give a live demo on analyzing current malicious applications containing cutting-edge anti-analysis techniques.<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=223829German OWASP Day 20162016-12-02T10:18:44Z<p>Martinj: /* Es sind nur noch Restplätze über diese Warteliste verfügbar. */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security: Facing Information Security Threats''' <br> ''Tobias Millauer (Daimler)'' [[Media:GOD16-Daimler.pdf|(slides)]]<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' [[Media:GOD16-Deserialization.pdf|(slides)]] <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke'' [[Media:GOD16-WASE.pdf|(slides)]]<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk'' [[Media:GOD16-Angularboot.pptx|(slides)]]<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Reverse Engineering Android Apps With CodeInspect'''<br> ''Siegfried Rasthofer''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel'' [[Media:GOD16-NOSQL.pdf|(slides)]]<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun: Der Secure Development Lifecycle in der agilen Praxis <br />
* Björn Kimminich: What's new in OWASP Juice Shop? [[Media:GOD16-Juice.pdf|(slides)]]<br />
* Juraj Somorovsky: TLS-Attacker (Systematic Fuzzing and Testing of TLS Libraries) [[Media:GOD16-Jurai.pdf|(slides)]]<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr'' [[Media:GOD16-agiletesting.pptx|(slides)]]<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel'' [[Media:GOD16-DROWN.pdf|(slides)]]<br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: CarIT Security: Facing Information Security Threats ===<br />
<br />
''Abstract:'' The principal objective of this keynote is to demonstrate existing frameworks, tools and methodologies to face automotive cyber security threats. The main threat for automobile manufacturers is that the car architecture has not been designed for Internet access, whereas in recent years, internet access has been added retrospectively on top of the traditional architecture. Automobiles are nowadays cyber-physical systems, whereby new challenges arise since technologies and development methods for safety are not applicable for security. Information security processes of connected cars have an impact on customer satisfaction as CarIT Security protects the life of vehicle occupants and privacy ensures data protection of personally identifiable information. The role of information security must be to ensure transparency across the threats, whereby the Board of Management must be put in a position to recognize information security threats. Information Security Risk Management provides the opportunity to raise the required management attention.<br />
<br />
''Bio:'' Tobias Millauer is an Information Security Architect CarIT at Daimler’s Global Information Security department, where he advises projects on CarIT Security and ensures CarIT Security Governance. He studied IT Security at the University of Applied Sciences St. Pölten and the Bern University of Applied Sciences. His bachelor thesis examined how business growth through information security will be achieved for automobile manufacturers. Millauer is currently working towards his Master's degree in Information Security Management at University of Applied Sciences Hagenberg with focus on Corporate Governance and Risk Management.<br />
<br />
----<br />
<br />
'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br />
<br />
''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.<br />
<br />
In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.<br />
<br />
----<br />
<br />
'''Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle'''<br />
<br />
''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren. <br />
<br />
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures. <br />
<br />
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.<br />
<br />
----<br />
<br />
'''Matthias Rohr: Sicherheit agil Testen'''<br />
<br />
''Abstract:'' Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden. <br />
<br />
Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints. <br />
<br />
In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen.<br />
<br />
----<br />
<br />
'''Andreas Falk: Sicher in die Cloud mit Angular 2 und Spring Boot'''<br />
<br />
''Abstract:'' Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt.<br />
Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht.<br />
Doch wie steht es um die Sicherheit derartiger Anwendungen?<br />
Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen.<br />
Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend.<br />
Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.<br />
<br />
---- <br />
<br />
'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br />
<br />
''Abstract:'' Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten. <br />
<br />
Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden. <br />
<br />
In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben. <br />
<br />
----<br />
<br />
'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br />
<br />
''Abstract:'' Content Security Policy is a web platform mechanism designed <br />
to mitigate cross-site scripting (XSS), the top security <br />
vulnerability in modern web applications [24]. In this talk, <br />
we take a closer look at the practical benefits of adopting <br />
CSP and identify significant flaws in real-world deployments <br />
that result in bypasses in 94.72% of all distinct policies. <br />
We base our Internet-wide analysis on a search engine corpus <br />
of approximately 100 billion pages from over 1 billion <br />
hostnames; the result covers CSP deployments on 1,680,867 <br />
hosts with 26,011 unique CSP policies – the most comprehensive <br />
study to date. We introduce the security-relevant <br />
aspects of the CSP specification and provide an in-depth <br />
analysis of its threat model, focusing on XSS protections. <br />
We identify three common classes of CSP bypasses and explain <br />
how they subvert the security of a policy. <br />
We then turn to a quantitative analysis of policies deployed <br />
on the Internet in order to understand their security <br />
benefits. We observe that 14 out of the 15 domains <br />
most commonly whitelisted for loading scripts contain unsafe <br />
endpoints; as a consequence, 75.81% of distinct policies <br />
use script whitelists that allow attackers to bypass CSP. In <br />
total, we find that 94.68% of policies that attempt to limit <br />
script execution are ineffective, and that 99.34% of hosts <br />
with CSP use policies that offer no benefit against XSS. <br />
Finally, we propose the ’strict-dynamic’ keyword, an <br />
addition to the specification that facilitates the creation of <br />
policies based on cryptographic nonces, without relying on <br />
domain whitelists. We discuss our experience deploying such <br />
a nonce-based policy in a complex application and provide <br />
guidance to web authors for improving their policies.<br />
<br />
----<br />
<br />
'''Christian Schneider. Java Deserialization Attacks: Angriff & Verteidigung'''<br />
<br />
''Abstract:'' Dieser Talk gibt einen fundierten Überblick über den aktuellen Stand zum Thema Angriffe auf Java Deserialisierung: Nach einer kurzen Analyse des Grundproblems hinter der Verwundbarkeit am Beispiel realer Gadgets lernen Sie die mittlerweile verfügbaren Exploitation-Werkzeuge zur Ausnutzung von Deserialization-Endpoints kennen. Weiterhin werden wertvolle Tipps zum Auffinden von Gadgets und Endpoints mittels statischer Analyse (SAST) sowie dynamisch bei Pentests (DAST) vermittelt. <br />
<br />
Der defensive Part des Talks widmet sich den Möglichkeiten zur Absicherung: Am Beispiel von Bypässen bestimmter Härtungsmaßnahmen werden deren Wirkungsgrade analysiert. Abschließend zeige ich, dass das Thema Java Deserialisierung nicht nur Java direkt betrifft, sondern auch auf der JVM verfügbare andere Sprachen. <br />
<br />
----<br />
<br />
'''Patrick Spiegel. NoSQL Injection revisited'''<br />
<br />
''Abstract:'' In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges, but do they provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “<br />
This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases – MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kinds of requests can be crafted that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.<br />
<br />
----<br />
<br />
'''Siegfried Rasthofer: Reverse Engineering Android Apps With CodeInspect'''<br />
<br />
''Abstract:'' Android malware is getting more and more sophisticated. To impede analysis, modern malware families use various anti-analysis techniques such as packers, detectors for emulators or tamper detection mechanisms. Current static code-analysis tools quickly reach their limits with heavily obfuscated code. Dynamic code analysis tools, on the other hand, are frequently tricked by emulator detection. If malware applications use such techniques in combination, this can causes many automatic code-analysis tools to fail, due to their intrinsic limitations, leaving a manual analysis as the only viable option - a very difficult and time-consuming undertaking.<br />
<br />
To alleviate the problem, we propose CodeInspect, a new integrated reverse-engineering environment targeting sophisticated state-of-the-art malware apps for Android. With features such as interactive debugging on a human readable representation of the application’s bytecode, CodeInspect aims to greatly reduce the time an analyst requires to understand and judge applications. Using CodeInspect, the engineer can debug the app live, can rename (obfuscated) identifiers, jump to definitions, remove or add statements and more. It further includes extensions for a fully-automatic de-obfuscation of reflective method calls, string de-obfuscation and a very precise dataflow tracking component that shows suspicious flows from sensitive sources to public sinks, all of which can be easily used in combination.<br />
<br />
In this talk, we will introduce CodeInspect and give a live demo on analyzing current malicious applications containing cutting-edge anti-analysis techniques.<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=Germany&diff=223828Germany2016-12-02T10:17:46Z<p>Martinj: </p>
<hr />
<div><br />
__NOTOC__<br />
<br />
<!-- NOTOC ging nicht mehr f.d. Übersicht. Leider hat man dem Englischen dann doppelte ÜS. Hoffe, das ist angesichts der schmalen nur englisch verstehenden Leserschaft ok. Denke auch, der Aufwand zur Pflege ist so adäquat<br />
08/2015: NOTOC wieder eingestellt, da kein Englisch mehr, Fehler mit doppelten Zeichen nicht nachvollziehbar<br />
<br />
{{Chapter Template|chaptername=Germany}}<br />
--> <br />
<div style="height:11em;">[[Image:owasp_germany_logo.png|right]]</div><br />
<!-- mediawiki ist zu dumm, um Bilder ordentlich darzustellen, darum das DIV mit style= --><br />
<br />
----<br />
<!-- Top News: auf hellblauem Hintergrund ganz oben auf der Seite --><br />
<div style="background-color:rgb(153,204,255);margin:2em;padding-left:1em;height:8em;"><br />
<!--<br />
[[Image:2016_owasp_day_w_480px.png|200px|right|Logo German OWASP Day 2016]]<br />
--><br />
<big style="padding:1em;"><!-- '''German OWASP Day 2016''' --></big><br />
<br />
Der <b><u>[[German_OWASP_Day_2016| 8. German OWASP Day 2016]]</u></b> fand am '''29.11.2016''' in Darmstadt statt!<br />
<br />
Hier das Programm mit den Vorträgen zum <u>[[German OWASP Day 2016#Programm| Download]]</u>.<br />
<br />
</div><br />
----<br />
<br />
==Über OWASP==<br />
OWASP ist eine unabhängige, weltweite Community mit dem Ziel, die Bedeutung der Sicherheit von Webanwendungen »sichtbar zu machen« Know-How zur Entwicklung und den Betrieb sicherer Webanwendungen zu verbreiten und frei zur Verfugung zu stellen. Sämtliche OWASP-Instrumente, wie Dokumente, Videos, Slides, Podcasts etc. sind kostenlos unter einer freien Lizenz verwendbar.<br />
<br />
OWASP ist frei, offen und herstellerunabhängig. Alle Interessierten sind herzlich willkommen etwa in [https://www.owasp.org/index.php/Category:OWASP_Project Projekten] mitzuarbeiten oder nur am Wissen zu partizipieren. Eine prima Gelegenheit sich einen Eindruck zu verschaffen, sind die <u>[[OWASP_German_Chapter_Stammtisch_Initiative|OWASP Stammtische]]</u>, die regelmäßig in vielen deutschen Großstädten stattfinden. <br />
<br />
== '''OWASP German Chapter''' ==<br />
The chapter leader is [mailto:tobias.glemser@owasp.org Tobias Glemser].<br />
<br />
Chapter Board members are (in alphabetical order):<br />
[mailto:achim@owasp.org Achim Hoffmann],<br />
[mailto:alexios.fakos@owasp.org Alexios Fakos],<br />
[mailto:bastian.braun@owasp.org Bastian Braun],<br />
[mailto:boris@owasp.org Boris],<br />
[mailto:hartwig.gelhausen@owasp.org Hartwig Gelhausen],<br />
[mailto:ingo.hanke@owasp.org Ingo Hanke],<br />
[mailto:?? Jan Philipp],<br />
[mailto:jan.wolff@owasp.org Jan Wolff],<br />
[mailto:kai@owasp.org Kai Jendrian],<br />
[mailto:martin.johns@owasp.org Martin Johns],<br />
[mailto:michael.schaefer@owasp.org Michael Schäfer],<br />
[mailto:tobias.glemser@owasp.org Tobias Glemser],<br />
[mailto:tom.schoen@owasp.org Tom Schoen],<br />
[mailto:dirk@owasp.org Dirk Wetter].<br />
<br />
;Twitter: <u>[https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]</u><br />
;Mailing-Liste: <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org]</u> <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u><br />
----<br />
<br />
<br />
=== Projekte des German Chapter ===<br />
----<br />
Das German Chapter initiiert oder beteiligt sich an <u>[[:Category:OWASP_Project|OWASP Projekten]]</u>. Was das deutsche Chapter auf die Beine gestellt hat, kann sich blicken lassen, ein Ausschnitt:<br />
<br />
* OWASP Top 10 Privacy Risks Project<br />
* OWASP Top 10 für Entwickler<br />
* OWASP Top 10 2013: Deutsche Übersetzung<br />
* OWASP SSL advanced forensic tool - O-Saft<br />
* Best Practices: Web Application Firewalls<br />
<br />
Mehr? Siehe Liste der <u>[[Germany/Projekte|deutschen Projekte]]</u>.<br />
<br />
<br />
=== OWASP Stammtisch-Initiative ===<br />
----<br />
<br />
In mehreren Städten gibt es <u>[[Germany/Stammtisch_Initiative|OWASP-Stammtische]]</u>, bei denen man sich in lockerer Runde trifft, um sich auszutauschen, nette Leute kennenzulernen oder ernsthafte Sicherheitsthemen zu diskutieren -- meinstens mit Vortrag.<br />
<br />
Aktive Stammtische gibt es (Stand Dezember 2015) in: <br />
[[OWASP_German_Chapter_Stammtisch_Initiative/München|München]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt|Frankfurt]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Stuttgart|Stuttgart]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Köln|Köln]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Hamburg|Hamburg]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Karlsruhe|Karlsruhe]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Dresden|Dresden]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Ruhrpott|Ruhrpott]]<br />
<br />
=== Aktuelleres / Historisches ===<br />
;29.11.2016: [[German_OWASP_Day_2016|8ter German OWASP Day in Darmstadt]]<br />
----<br />
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]<br />
;06.10.2015: Das OWASP German Chapter wird auch in diesem Jahr dank der Unterstützung der Nürnberg Messe auf der it-sa mit einem eigenen Stand (12.0-123) vertreten sein. Wir freuen uns auf spannende Gespräche am Stand. <br />
<!--<br />
[[Image:it-sa-2015-Logo-rgb-72dpi.jpg|300px|center|link=https://www.it-sa.de/|Logo it-sa Fair]]<br />
Ich habe das Logo weggenommen, da it-sa eine kommerzielle Organisation ist (dirk)<br />
--><br />
;13.04.2015: <u>[https://lists.owasp.org/pipermail/owasp-germany/2015-March/000758.html German OWASP Chapter Meeting]</u> in Frankfurt <br />
;23.01.2015: Übesetzung der '''OWASP Top 10 von 2013''' in Deutsch <u>[[Germany/Projekte/Top_10|OWASP Top 10: Deutsche Übersetzung]]</u><br />
;09.12.2014: <u>[[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]</u><br />
;14.03.2014: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind <u>[[Germany/Chapter_Meetings|hier]]</u> zu finden.<br />
;20. - 23.08.2013: Das German Chapter veranstaltete die <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
;10.08.2013: Partnerschaft mit dem <u>[http://www.isaca.de/ ISACA Germany Chapter e.V.]</u>: Zum Nutzen für Mitgleider beider Seiten wurde mit dem ISACA Germany Chapter e.V. eine Partnerschaft geschlossen. Die Partnerschaft ermöglicht es Mitgliedern des ISACA Germany Chapter e.V. an der OWASP AppSec Research 2013 zu vergünstigten Konditionen teilzunehmen. Das OWASP German Chapter erhält Gelegenheit auf ISACA Konferenzen präsent zu sein. Wir freuen uns sehr auf die Partnerschaft.<br />
;01.07.2013: Programm für AppSec Research EU 2013 ist <u>[http://owaspappseceu2013.sched.org/ online]</u> <!-- http://sched.appsec.eu/ ist Tracking-Seite, grrrr --><br />
;10.06.2013: Registrierung für AppSec Research EU 2013 ist hier <u>[https://appsec.eu/registration/ https://appsec.eu/registration/]</u> .<br />
;17.05.2013: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind <u>[[Germany/Chapter_Meetings|hier]]</u> zu finden.<br />
;22.02.2013: German Chapter Meeting findet am '''17.05.2013''' in Frankfurt statt.<br />
;5.12.2012: Das German Chapter veranstaltet die <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
: The German Chapter is proud announcing <u>[[AppSecEU2013|date and location]]</u> of AppSecEU 2013.<br />
;10.11.2012: <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]:</u> Die hochrangige Websicherheitskonferenz war ein voller Erfolg: Dank gilt allen Besuchern -- gut ein Drittel mehr als letztes Jahr -- Sprechern und Sponsoren.<br />
;07.11.2012: <u>[[Germany/Chaptersponsor|Chapter Sponsoring]]</u> möglich.<br />
;03.11.2012: Webseite des [[Germany|OWASP German Chapter]] neu strukturiert.<br />
;10.09.2012: <u>[[German_OWASP_Day_2012/Programm|Programm]]</u> für <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u> in München am 7.11.2012 steht<br />
;13.07.2012: Am Ende der AppSecEU 2012 wurde offiziell verkündet, dass das Deutsche Chapter die AppSec Research 2013 hostet. Ort Hamburg, Zeit: Juli <br />
;02.05.2012: Call for Presentations eröffnet für <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u>. Ort: München<br />
<br />
Weitere Nachrichten sind <u>[[Germany/Aktuelles|im Archiv]]</u>.<br />
<br />
=== Unsere Konferenzen ===<br />
----<br />
;01.12.2015: <u>[[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]</u><br />
;09.12.2014: <u>[[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]</u><br />
;20-23.08.2013: Das German Chapter organisierte die (europäische) <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
;7.11.2012: <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u> in München<br />
<br />
Eine Liste aller vom OWASP German Chapter durchgeführten Konferenzen ist <u>[[Germany/Konferenzen|hier]]</u> zu finden.<br />
<br />
=== Chapter Meetings ===<br />
----<br />
Nächstes Chapter Meeting am '''28.11.2016''' in Darmstadt, siehe <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>.<br />
<br />
Das German Chapter trifft sich in unregelmäßigen Abständen, um die Arbeit innerhalb des German Chapter zu organisieren. Unser Chapter hat die Besonderheit, dass wir unter unserem Dach, die einzelnen Stammtische haben -- die in anderen Ländern als Chapter organisiert sind. Insofern sind<br />
unsere Chapter Meetings eine Mischung aus Vortrag und Organisation.<br />
<br />
Gemäß dem ''O'' in OWASP für ''open'' sind diese Treffen öffentlich. Jedermann kann daran teilnehmen und sich ander Arbeit im Chpater beteiligen. Der Termin zum Treffen -- Chapter Meeting -- wird auf dieser Seite bekannt gegegebn, zusammen mit der Agenda. Selbstverständlich sind auch alle Ergebnisse der Treffen öffentlich. Was auf den vergangenen Treffen jeweils besprochen / beschlossen wurde ist auf der <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>-Seite zu finden.<br />
<br />
Letztes Chapter Meeting war am '''13.04.2015''' in Frankfurt. Details sind auf der <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>-Seite zu finden<br />
<br />
=== So erreichen Sie uns ===<br />
----<br />
;E-Mail: ...in Kürze ... <!-- [mailto:kontakt@owasp.de] [mailto:info@owasp.de] --><br />
;Twitter: <u>[https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]</u><br />
;Mailing-Liste: <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org]</u> <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u><br />
<br />
Mitarbeit am OWASP German Chapter ist willkommen. Wir freuen uns auf Beiträge in unserer <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany Mailingliste]</u>. Diese sollten natürlich einen Bezug zu (Web-)Anwendungssicherheit haben. Denkbar sind also u. A. Fragen, Tipps, aktuelle Hinweise, Stellenangebote oder Projektgesuche. Es gibt auch ein <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u> von der Liste. Wenn Sie nicht an den Meetings teilnehmen können, kontaktieren Sie einfach einen der German Chapter Board Members (siehe oben) oder schreiben Sie eine E-Mail an uns [mailto:owasp-germany@lists.owasp.org chapter mailing list].<br />
<br />
=== Presse ===<br />
----<br />
Informationen für die Presse finden sich <u>[[Germany/press|hier]]</u><br />
<br />
<br />
=== Sponsoren des German OWASP Chapters ===<br />
<br />
<!-- Sponsoren: bitte 3-spaltige Tabelle benutzen, damit genuegend Abstand zwischen den Bildern --><br />
{| width="99%" style="background-color:inherit;"<br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]<br />
|-<br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
| [[Image:Cyberday-logo_8700px_square.png|link=https://www.cyberday-gmbh.de|www.cyberday-gmbh.de]]<br />
|-<br />
| [[Image:Banner_TUViT.png|link=https://www.tuvit.de/de|www.tuvit.de]]<br />
| [[Image:xcellent_8700px.png|link=http://www.x-cellent.com|www.x-cellent.com]]<br />
|-<br />
| [[Image:xing_logo.png|link=https://corporate.xing.com/english/company/security-at-xing/|www.xing.com]]<br />
| [[Image:acunetix_max_8700px.png|link=https://www.acunetix.com/|www.acunetix.com]]<br />
|-|<br />
|-<br />
| [[Image:binsec.png|link=http://www.binsec.de/|www.binsec.de]]<br />
| <br />
|-|<br />
|<br />
|<br />
|}<br />
<br />
Unser Angebot an Sponsoren / Offer for Chapter Sponsors: <u>[[Germany/Chaptersponsor|OWASP German Chapter Sponsorship]]</u>.<br />
<br />
<br />
<br />
----<br />
<small>(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)</small><br />
<br />
[[Category:Germany]] [[Category:Europe]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=223827German OWASP Day 20162016-12-02T10:10:07Z<p>Martinj: /* Restplätze werden über diese Warteliste vergeben. */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security: Facing Information Security Threats''' <br> ''Tobias Millauer (Daimler)'' [[Media:GOD16-Daimler.pdf|(slides)]]<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' [[Media:GOD16-Deserialization.pdf|(slides)]] <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke'' [[Media:GOD16-WASE.pdf|(slides)]]<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk'' [[Media:GOD16-Angularboot.pptx|(slides)]]<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Reverse Engineering Android Apps With CodeInspect'''<br> ''Siegfried Rasthofer''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel'' [[Media:GOD16-NOSQL.pdf|(slides)]]<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun: Der Secure Development Lifecycle in der agilen Praxis <br />
* Björn Kimminich: What's new in OWASP Juice Shop? [[Media:GOD16-Juice.pdf|(slides)]]<br />
* Juraj Somorovsky: TLS-Attacker (Systematic Fuzzing and Testing of TLS Libraries) [[Media:GOD16-Jurai.pdf|(slides)]]<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr'' [[Media:GOD16-agiletesting.pptx|(slides)]]<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel'' [[Media:GOD16-DROWN.pdf|(slides)]]<br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: CarIT Security: Facing Information Security Threats ===<br />
<br />
''Abstract:'' The principal objective of this keynote is to demonstrate existing frameworks, tools and methodologies to face automotive cyber security threats. The main threat for automobile manufacturers is that the car architecture has not been designed for Internet access, whereas in recent years, internet access has been added retrospectively on top of the traditional architecture. Automobiles are nowadays cyber-physical systems, whereby new challenges arise since technologies and development methods for safety are not applicable for security. Information security processes of connected cars have an impact on customer satisfaction as CarIT Security protects the life of vehicle occupants and privacy ensures data protection of personally identifiable information. The role of information security must be to ensure transparency across the threats, whereby the Board of Management must be put in a position to recognize information security threats. Information Security Risk Management provides the opportunity to raise the required management attention.<br />
<br />
''Bio:'' Tobias Millauer is an Information Security Architect CarIT at Daimler’s Global Information Security department, where he advises projects on CarIT Security and ensures CarIT Security Governance. He studied IT Security at the University of Applied Sciences St. Pölten and the Bern University of Applied Sciences. His bachelor thesis examined how business growth through information security will be achieved for automobile manufacturers. Millauer is currently working towards his Master's degree in Information Security Management at University of Applied Sciences Hagenberg with focus on Corporate Governance and Risk Management.<br />
<br />
----<br />
<br />
'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br />
<br />
''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.<br />
<br />
In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.<br />
<br />
----<br />
<br />
'''Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle'''<br />
<br />
''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren. <br />
<br />
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures. <br />
<br />
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.<br />
<br />
----<br />
<br />
'''Matthias Rohr: Sicherheit agil Testen'''<br />
<br />
''Abstract:'' Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden. <br />
<br />
Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints. <br />
<br />
In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen.<br />
<br />
----<br />
<br />
'''Andreas Falk: Sicher in die Cloud mit Angular 2 und Spring Boot'''<br />
<br />
''Abstract:'' Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt.<br />
Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht.<br />
Doch wie steht es um die Sicherheit derartiger Anwendungen?<br />
Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen.<br />
Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend.<br />
Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.<br />
<br />
---- <br />
<br />
'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br />
<br />
''Abstract:'' Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten. <br />
<br />
Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden. <br />
<br />
In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben. <br />
<br />
----<br />
<br />
'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br />
<br />
''Abstract:'' Content Security Policy is a web platform mechanism designed <br />
to mitigate cross-site scripting (XSS), the top security <br />
vulnerability in modern web applications [24]. In this talk, <br />
we take a closer look at the practical benefits of adopting <br />
CSP and identify significant flaws in real-world deployments <br />
that result in bypasses in 94.72% of all distinct policies. <br />
We base our Internet-wide analysis on a search engine corpus <br />
of approximately 100 billion pages from over 1 billion <br />
hostnames; the result covers CSP deployments on 1,680,867 <br />
hosts with 26,011 unique CSP policies – the most comprehensive <br />
study to date. We introduce the security-relevant <br />
aspects of the CSP specification and provide an in-depth <br />
analysis of its threat model, focusing on XSS protections. <br />
We identify three common classes of CSP bypasses and explain <br />
how they subvert the security of a policy. <br />
We then turn to a quantitative analysis of policies deployed <br />
on the Internet in order to understand their security <br />
benefits. We observe that 14 out of the 15 domains <br />
most commonly whitelisted for loading scripts contain unsafe <br />
endpoints; as a consequence, 75.81% of distinct policies <br />
use script whitelists that allow attackers to bypass CSP. In <br />
total, we find that 94.68% of policies that attempt to limit <br />
script execution are ineffective, and that 99.34% of hosts <br />
with CSP use policies that offer no benefit against XSS. <br />
Finally, we propose the ’strict-dynamic’ keyword, an <br />
addition to the specification that facilitates the creation of <br />
policies based on cryptographic nonces, without relying on <br />
domain whitelists. We discuss our experience deploying such <br />
a nonce-based policy in a complex application and provide <br />
guidance to web authors for improving their policies.<br />
<br />
----<br />
<br />
'''Christian Schneider. Java Deserialization Attacks: Angriff & Verteidigung'''<br />
<br />
''Abstract:'' Dieser Talk gibt einen fundierten Überblick über den aktuellen Stand zum Thema Angriffe auf Java Deserialisierung: Nach einer kurzen Analyse des Grundproblems hinter der Verwundbarkeit am Beispiel realer Gadgets lernen Sie die mittlerweile verfügbaren Exploitation-Werkzeuge zur Ausnutzung von Deserialization-Endpoints kennen. Weiterhin werden wertvolle Tipps zum Auffinden von Gadgets und Endpoints mittels statischer Analyse (SAST) sowie dynamisch bei Pentests (DAST) vermittelt. <br />
<br />
Der defensive Part des Talks widmet sich den Möglichkeiten zur Absicherung: Am Beispiel von Bypässen bestimmter Härtungsmaßnahmen werden deren Wirkungsgrade analysiert. Abschließend zeige ich, dass das Thema Java Deserialisierung nicht nur Java direkt betrifft, sondern auch auf der JVM verfügbare andere Sprachen. <br />
<br />
----<br />
<br />
'''Patrick Spiegel. NoSQL Injection revisited'''<br />
<br />
''Abstract:'' In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges, but do they provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “<br />
This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases – MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kinds of requests can be crafted that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.<br />
<br />
----<br />
<br />
'''Siegfried Rasthofer: Reverse Engineering Android Apps With CodeInspect'''<br />
<br />
''Abstract:'' Android malware is getting more and more sophisticated. To impede analysis, modern malware families use various anti-analysis techniques such as packers, detectors for emulators or tamper detection mechanisms. Current static code-analysis tools quickly reach their limits with heavily obfuscated code. Dynamic code analysis tools, on the other hand, are frequently tricked by emulator detection. If malware applications use such techniques in combination, this can causes many automatic code-analysis tools to fail, due to their intrinsic limitations, leaving a manual analysis as the only viable option - a very difficult and time-consuming undertaking.<br />
<br />
To alleviate the problem, we propose CodeInspect, a new integrated reverse-engineering environment targeting sophisticated state-of-the-art malware apps for Android. With features such as interactive debugging on a human readable representation of the application’s bytecode, CodeInspect aims to greatly reduce the time an analyst requires to understand and judge applications. Using CodeInspect, the engineer can debug the app live, can rename (obfuscated) identifiers, jump to definitions, remove or add statements and more. It further includes extensions for a fully-automatic de-obfuscation of reflective method calls, string de-obfuscation and a very precise dataflow tracking component that shows suspicious flows from sensitive sources to public sinks, all of which can be easily used in combination.<br />
<br />
In this talk, we will introduce CodeInspect and give a live demo on analyzing current malicious applications containing cutting-edge anti-analysis techniques.<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
=== Es sind nur noch Restplätze über diese [https://www.regonline.com/owaspgermanday2016 Warteliste] verfügbar. ===<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday@owasp.org germanowaspday@owasp.org].<br />
<br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=223826German OWASP Day 20162016-12-02T10:09:15Z<p>Martinj: /* Programm */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
=== Restplätze werden über diese [https://www.regonline.com/owaspgermanday2016 Warteliste] vergeben. ===<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security: Facing Information Security Threats''' <br> ''Tobias Millauer (Daimler)'' [[Media:GOD16-Daimler.pdf|(slides)]]<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' [[Media:GOD16-Deserialization.pdf|(slides)]] <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke'' [[Media:GOD16-WASE.pdf|(slides)]]<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk'' [[Media:GOD16-Angularboot.pptx|(slides)]]<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Reverse Engineering Android Apps With CodeInspect'''<br> ''Siegfried Rasthofer''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel'' [[Media:GOD16-NOSQL.pdf|(slides)]]<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun: Der Secure Development Lifecycle in der agilen Praxis <br />
* Björn Kimminich: What's new in OWASP Juice Shop? [[Media:GOD16-Juice.pdf|(slides)]]<br />
* Juraj Somorovsky: TLS-Attacker (Systematic Fuzzing and Testing of TLS Libraries) [[Media:GOD16-Jurai.pdf|(slides)]]<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr'' [[Media:GOD16-agiletesting.pptx|(slides)]]<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel'' [[Media:GOD16-DROWN.pdf|(slides)]]<br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: CarIT Security: Facing Information Security Threats ===<br />
<br />
''Abstract:'' The principal objective of this keynote is to demonstrate existing frameworks, tools and methodologies to face automotive cyber security threats. The main threat for automobile manufacturers is that the car architecture has not been designed for Internet access, whereas in recent years, internet access has been added retrospectively on top of the traditional architecture. Automobiles are nowadays cyber-physical systems, whereby new challenges arise since technologies and development methods for safety are not applicable for security. Information security processes of connected cars have an impact on customer satisfaction as CarIT Security protects the life of vehicle occupants and privacy ensures data protection of personally identifiable information. The role of information security must be to ensure transparency across the threats, whereby the Board of Management must be put in a position to recognize information security threats. Information Security Risk Management provides the opportunity to raise the required management attention.<br />
<br />
''Bio:'' Tobias Millauer is an Information Security Architect CarIT at Daimler’s Global Information Security department, where he advises projects on CarIT Security and ensures CarIT Security Governance. He studied IT Security at the University of Applied Sciences St. Pölten and the Bern University of Applied Sciences. His bachelor thesis examined how business growth through information security will be achieved for automobile manufacturers. Millauer is currently working towards his Master's degree in Information Security Management at University of Applied Sciences Hagenberg with focus on Corporate Governance and Risk Management.<br />
<br />
----<br />
<br />
'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br />
<br />
''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.<br />
<br />
In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.<br />
<br />
----<br />
<br />
'''Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle'''<br />
<br />
''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren. <br />
<br />
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures. <br />
<br />
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.<br />
<br />
----<br />
<br />
'''Matthias Rohr: Sicherheit agil Testen'''<br />
<br />
''Abstract:'' Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden. <br />
<br />
Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints. <br />
<br />
In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen.<br />
<br />
----<br />
<br />
'''Andreas Falk: Sicher in die Cloud mit Angular 2 und Spring Boot'''<br />
<br />
''Abstract:'' Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt.<br />
Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht.<br />
Doch wie steht es um die Sicherheit derartiger Anwendungen?<br />
Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen.<br />
Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend.<br />
Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.<br />
<br />
---- <br />
<br />
'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br />
<br />
''Abstract:'' Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten. <br />
<br />
Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden. <br />
<br />
In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben. <br />
<br />
----<br />
<br />
'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br />
<br />
''Abstract:'' Content Security Policy is a web platform mechanism designed <br />
to mitigate cross-site scripting (XSS), the top security <br />
vulnerability in modern web applications [24]. In this talk, <br />
we take a closer look at the practical benefits of adopting <br />
CSP and identify significant flaws in real-world deployments <br />
that result in bypasses in 94.72% of all distinct policies. <br />
We base our Internet-wide analysis on a search engine corpus <br />
of approximately 100 billion pages from over 1 billion <br />
hostnames; the result covers CSP deployments on 1,680,867 <br />
hosts with 26,011 unique CSP policies – the most comprehensive <br />
study to date. We introduce the security-relevant <br />
aspects of the CSP specification and provide an in-depth <br />
analysis of its threat model, focusing on XSS protections. <br />
We identify three common classes of CSP bypasses and explain <br />
how they subvert the security of a policy. <br />
We then turn to a quantitative analysis of policies deployed <br />
on the Internet in order to understand their security <br />
benefits. We observe that 14 out of the 15 domains <br />
most commonly whitelisted for loading scripts contain unsafe <br />
endpoints; as a consequence, 75.81% of distinct policies <br />
use script whitelists that allow attackers to bypass CSP. In <br />
total, we find that 94.68% of policies that attempt to limit <br />
script execution are ineffective, and that 99.34% of hosts <br />
with CSP use policies that offer no benefit against XSS. <br />
Finally, we propose the ’strict-dynamic’ keyword, an <br />
addition to the specification that facilitates the creation of <br />
policies based on cryptographic nonces, without relying on <br />
domain whitelists. We discuss our experience deploying such <br />
a nonce-based policy in a complex application and provide <br />
guidance to web authors for improving their policies.<br />
<br />
----<br />
<br />
'''Christian Schneider. Java Deserialization Attacks: Angriff & Verteidigung'''<br />
<br />
''Abstract:'' Dieser Talk gibt einen fundierten Überblick über den aktuellen Stand zum Thema Angriffe auf Java Deserialisierung: Nach einer kurzen Analyse des Grundproblems hinter der Verwundbarkeit am Beispiel realer Gadgets lernen Sie die mittlerweile verfügbaren Exploitation-Werkzeuge zur Ausnutzung von Deserialization-Endpoints kennen. Weiterhin werden wertvolle Tipps zum Auffinden von Gadgets und Endpoints mittels statischer Analyse (SAST) sowie dynamisch bei Pentests (DAST) vermittelt. <br />
<br />
Der defensive Part des Talks widmet sich den Möglichkeiten zur Absicherung: Am Beispiel von Bypässen bestimmter Härtungsmaßnahmen werden deren Wirkungsgrade analysiert. Abschließend zeige ich, dass das Thema Java Deserialisierung nicht nur Java direkt betrifft, sondern auch auf der JVM verfügbare andere Sprachen. <br />
<br />
----<br />
<br />
'''Patrick Spiegel. NoSQL Injection revisited'''<br />
<br />
''Abstract:'' In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges, but do they provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “<br />
This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases – MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kinds of requests can be crafted that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.<br />
<br />
----<br />
<br />
'''Siegfried Rasthofer: Reverse Engineering Android Apps With CodeInspect'''<br />
<br />
''Abstract:'' Android malware is getting more and more sophisticated. To impede analysis, modern malware families use various anti-analysis techniques such as packers, detectors for emulators or tamper detection mechanisms. Current static code-analysis tools quickly reach their limits with heavily obfuscated code. Dynamic code analysis tools, on the other hand, are frequently tricked by emulator detection. If malware applications use such techniques in combination, this can causes many automatic code-analysis tools to fail, due to their intrinsic limitations, leaving a manual analysis as the only viable option - a very difficult and time-consuming undertaking.<br />
<br />
To alleviate the problem, we propose CodeInspect, a new integrated reverse-engineering environment targeting sophisticated state-of-the-art malware apps for Android. With features such as interactive debugging on a human readable representation of the application’s bytecode, CodeInspect aims to greatly reduce the time an analyst requires to understand and judge applications. Using CodeInspect, the engineer can debug the app live, can rename (obfuscated) identifiers, jump to definitions, remove or add statements and more. It further includes extensions for a fully-automatic de-obfuscation of reflective method calls, string de-obfuscation and a very precise dataflow tracking component that shows suspicious flows from sensitive sources to public sinks, all of which can be easily used in combination.<br />
<br />
In this talk, we will introduce CodeInspect and give a live demo on analyzing current malicious applications containing cutting-edge anti-analysis techniques.<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
=== Es sind nur noch Restplätze über diese [https://www.regonline.com/owaspgermanday2016 Warteliste] verfügbar. ===<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday@owasp.org germanowaspday@owasp.org].<br />
<br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=File:GOD16-DROWN.pdf&diff=223824File:GOD16-DROWN.pdf2016-12-02T10:06:47Z<p>Martinj: </p>
<hr />
<div></div>Martinjhttps://wiki.owasp.org/index.php?title=File:GOD16-agiletesting.pptx&diff=223823File:GOD16-agiletesting.pptx2016-12-02T10:06:40Z<p>Martinj: </p>
<hr />
<div></div>Martinjhttps://wiki.owasp.org/index.php?title=File:GOD16-Jurai.pdf&diff=223822File:GOD16-Jurai.pdf2016-12-02T10:06:26Z<p>Martinj: </p>
<hr />
<div></div>Martinjhttps://wiki.owasp.org/index.php?title=File:GOD16-Juice.pdf&diff=223821File:GOD16-Juice.pdf2016-12-02T10:06:25Z<p>Martinj: </p>
<hr />
<div></div>Martinjhttps://wiki.owasp.org/index.php?title=File:GOD16-NOSQL.pdf&diff=223820File:GOD16-NOSQL.pdf2016-12-02T10:05:28Z<p>Martinj: </p>
<hr />
<div></div>Martinjhttps://wiki.owasp.org/index.php?title=File:GOD16-Angularboot.pptx&diff=223819File:GOD16-Angularboot.pptx2016-12-02T10:04:24Z<p>Martinj: </p>
<hr />
<div></div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=223818German OWASP Day 20162016-12-02T10:00:11Z<p>Martinj: /* Programm */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
=== Restplätze werden über diese [https://www.regonline.com/owaspgermanday2016 Warteliste] vergeben. ===<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security: Facing Information Security Threats''' <br> ''Tobias Millauer (Daimler)'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' [[Media:GOD16-Deserialization.pdf|(slides)]] <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke'' [[Media:GOD16-WASE.pdf|slides]]<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Reverse Engineering Android Apps With CodeInspect'''<br> ''Siegfried Rasthofer''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun: Der Secure Development Lifecycle in der agilen Praxis <br />
* Björn Kimminich: What's new in OWASP Juice Shop?<br />
* Juraj Somorovsky: TLS-Attacker (Systematic Fuzzing and Testing of TLS Libraries)<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr''<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel''<br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: CarIT Security: Facing Information Security Threats ===<br />
<br />
''Abstract:'' The principal objective of this keynote is to demonstrate existing frameworks, tools and methodologies to face automotive cyber security threats. The main threat for automobile manufacturers is that the car architecture has not been designed for Internet access, whereas in recent years, internet access has been added retrospectively on top of the traditional architecture. Automobiles are nowadays cyber-physical systems, whereby new challenges arise since technologies and development methods for safety are not applicable for security. Information security processes of connected cars have an impact on customer satisfaction as CarIT Security protects the life of vehicle occupants and privacy ensures data protection of personally identifiable information. The role of information security must be to ensure transparency across the threats, whereby the Board of Management must be put in a position to recognize information security threats. Information Security Risk Management provides the opportunity to raise the required management attention.<br />
<br />
''Bio:'' Tobias Millauer is an Information Security Architect CarIT at Daimler’s Global Information Security department, where he advises projects on CarIT Security and ensures CarIT Security Governance. He studied IT Security at the University of Applied Sciences St. Pölten and the Bern University of Applied Sciences. His bachelor thesis examined how business growth through information security will be achieved for automobile manufacturers. Millauer is currently working towards his Master's degree in Information Security Management at University of Applied Sciences Hagenberg with focus on Corporate Governance and Risk Management.<br />
<br />
----<br />
<br />
'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br />
<br />
''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.<br />
<br />
In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.<br />
<br />
----<br />
<br />
'''Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle'''<br />
<br />
''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren. <br />
<br />
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures. <br />
<br />
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.<br />
<br />
----<br />
<br />
'''Matthias Rohr: Sicherheit agil Testen'''<br />
<br />
''Abstract:'' Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden. <br />
<br />
Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints. <br />
<br />
In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen.<br />
<br />
----<br />
<br />
'''Andreas Falk: Sicher in die Cloud mit Angular 2 und Spring Boot'''<br />
<br />
''Abstract:'' Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt.<br />
Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht.<br />
Doch wie steht es um die Sicherheit derartiger Anwendungen?<br />
Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen.<br />
Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend.<br />
Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.<br />
<br />
---- <br />
<br />
'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br />
<br />
''Abstract:'' Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten. <br />
<br />
Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden. <br />
<br />
In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben. <br />
<br />
----<br />
<br />
'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br />
<br />
''Abstract:'' Content Security Policy is a web platform mechanism designed <br />
to mitigate cross-site scripting (XSS), the top security <br />
vulnerability in modern web applications [24]. In this talk, <br />
we take a closer look at the practical benefits of adopting <br />
CSP and identify significant flaws in real-world deployments <br />
that result in bypasses in 94.72% of all distinct policies. <br />
We base our Internet-wide analysis on a search engine corpus <br />
of approximately 100 billion pages from over 1 billion <br />
hostnames; the result covers CSP deployments on 1,680,867 <br />
hosts with 26,011 unique CSP policies – the most comprehensive <br />
study to date. We introduce the security-relevant <br />
aspects of the CSP specification and provide an in-depth <br />
analysis of its threat model, focusing on XSS protections. <br />
We identify three common classes of CSP bypasses and explain <br />
how they subvert the security of a policy. <br />
We then turn to a quantitative analysis of policies deployed <br />
on the Internet in order to understand their security <br />
benefits. We observe that 14 out of the 15 domains <br />
most commonly whitelisted for loading scripts contain unsafe <br />
endpoints; as a consequence, 75.81% of distinct policies <br />
use script whitelists that allow attackers to bypass CSP. In <br />
total, we find that 94.68% of policies that attempt to limit <br />
script execution are ineffective, and that 99.34% of hosts <br />
with CSP use policies that offer no benefit against XSS. <br />
Finally, we propose the ’strict-dynamic’ keyword, an <br />
addition to the specification that facilitates the creation of <br />
policies based on cryptographic nonces, without relying on <br />
domain whitelists. We discuss our experience deploying such <br />
a nonce-based policy in a complex application and provide <br />
guidance to web authors for improving their policies.<br />
<br />
----<br />
<br />
'''Christian Schneider. Java Deserialization Attacks: Angriff & Verteidigung'''<br />
<br />
''Abstract:'' Dieser Talk gibt einen fundierten Überblick über den aktuellen Stand zum Thema Angriffe auf Java Deserialisierung: Nach einer kurzen Analyse des Grundproblems hinter der Verwundbarkeit am Beispiel realer Gadgets lernen Sie die mittlerweile verfügbaren Exploitation-Werkzeuge zur Ausnutzung von Deserialization-Endpoints kennen. Weiterhin werden wertvolle Tipps zum Auffinden von Gadgets und Endpoints mittels statischer Analyse (SAST) sowie dynamisch bei Pentests (DAST) vermittelt. <br />
<br />
Der defensive Part des Talks widmet sich den Möglichkeiten zur Absicherung: Am Beispiel von Bypässen bestimmter Härtungsmaßnahmen werden deren Wirkungsgrade analysiert. Abschließend zeige ich, dass das Thema Java Deserialisierung nicht nur Java direkt betrifft, sondern auch auf der JVM verfügbare andere Sprachen. <br />
<br />
----<br />
<br />
'''Patrick Spiegel. NoSQL Injection revisited'''<br />
<br />
''Abstract:'' In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges, but do they provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “<br />
This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases – MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kinds of requests can be crafted that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.<br />
<br />
----<br />
<br />
'''Siegfried Rasthofer: Reverse Engineering Android Apps With CodeInspect'''<br />
<br />
''Abstract:'' Android malware is getting more and more sophisticated. To impede analysis, modern malware families use various anti-analysis techniques such as packers, detectors for emulators or tamper detection mechanisms. Current static code-analysis tools quickly reach their limits with heavily obfuscated code. Dynamic code analysis tools, on the other hand, are frequently tricked by emulator detection. If malware applications use such techniques in combination, this can causes many automatic code-analysis tools to fail, due to their intrinsic limitations, leaving a manual analysis as the only viable option - a very difficult and time-consuming undertaking.<br />
<br />
To alleviate the problem, we propose CodeInspect, a new integrated reverse-engineering environment targeting sophisticated state-of-the-art malware apps for Android. With features such as interactive debugging on a human readable representation of the application’s bytecode, CodeInspect aims to greatly reduce the time an analyst requires to understand and judge applications. Using CodeInspect, the engineer can debug the app live, can rename (obfuscated) identifiers, jump to definitions, remove or add statements and more. It further includes extensions for a fully-automatic de-obfuscation of reflective method calls, string de-obfuscation and a very precise dataflow tracking component that shows suspicious flows from sensitive sources to public sinks, all of which can be easily used in combination.<br />
<br />
In this talk, we will introduce CodeInspect and give a live demo on analyzing current malicious applications containing cutting-edge anti-analysis techniques.<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
=== Es sind nur noch Restplätze über diese [https://www.regonline.com/owaspgermanday2016 Warteliste] verfügbar. ===<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday@owasp.org germanowaspday@owasp.org].<br />
<br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=File:GOD16-WASE.pdf&diff=223817File:GOD16-WASE.pdf2016-12-02T09:56:59Z<p>Martinj: </p>
<hr />
<div></div>Martinjhttps://wiki.owasp.org/index.php?title=File:GOD16-Deserialization.pdf&diff=223816File:GOD16-Deserialization.pdf2016-12-02T09:53:16Z<p>Martinj: </p>
<hr />
<div></div>Martinjhttps://wiki.owasp.org/index.php?title=Germany&diff=223815Germany2016-12-02T09:43:44Z<p>Martinj: </p>
<hr />
<div><br />
__NOTOC__<br />
<br />
<!-- NOTOC ging nicht mehr f.d. Übersicht. Leider hat man dem Englischen dann doppelte ÜS. Hoffe, das ist angesichts der schmalen nur englisch verstehenden Leserschaft ok. Denke auch, der Aufwand zur Pflege ist so adäquat<br />
08/2015: NOTOC wieder eingestellt, da kein Englisch mehr, Fehler mit doppelten Zeichen nicht nachvollziehbar<br />
<br />
{{Chapter Template|chaptername=Germany}}<br />
--> <br />
<div style="height:11em;">[[Image:owasp_germany_logo.png|right]]</div><br />
<!-- mediawiki ist zu dumm, um Bilder ordentlich darzustellen, darum das DIV mit style= --><br />
<br />
----<br />
<!-- Top News: auf hellblauem Hintergrund ganz oben auf der Seite --><br />
<div style="background-color:rgb(153,204,255);margin:2em;padding-left:1em;height:5em;"><br />
<!--<br />
[[Image:2016_owasp_day_w_480px.png|200px|right|Logo German OWASP Day 2016]]<br />
--><br />
<big style="padding:1em;"><!-- '''German OWASP Day 2016''' --></big><br />
<br />
Der <b><u>[[German_OWASP_Day_2016| 8. German OWASP Day 2016]]</u></b> fand am '''29.11.2016''' in Darmstadt statt!<br />
<!--<br />
Hier das Programm mit den Vorträgen zum <u>[[German OWASP Day 2015#Programm_mit_Pr.C3.A4sentationen_zum_Download|Download]]</u><br />
--><br />
</div><br />
----<br />
<br />
==Über OWASP==<br />
OWASP ist eine unabhängige, weltweite Community mit dem Ziel, die Bedeutung der Sicherheit von Webanwendungen »sichtbar zu machen« Know-How zur Entwicklung und den Betrieb sicherer Webanwendungen zu verbreiten und frei zur Verfugung zu stellen. Sämtliche OWASP-Instrumente, wie Dokumente, Videos, Slides, Podcasts etc. sind kostenlos unter einer freien Lizenz verwendbar.<br />
<br />
OWASP ist frei, offen und herstellerunabhängig. Alle Interessierten sind herzlich willkommen etwa in [https://www.owasp.org/index.php/Category:OWASP_Project Projekten] mitzuarbeiten oder nur am Wissen zu partizipieren. Eine prima Gelegenheit sich einen Eindruck zu verschaffen, sind die <u>[[OWASP_German_Chapter_Stammtisch_Initiative|OWASP Stammtische]]</u>, die regelmäßig in vielen deutschen Großstädten stattfinden. <br />
<br />
== '''OWASP German Chapter''' ==<br />
The chapter leader is [mailto:tobias.glemser@owasp.org Tobias Glemser].<br />
<br />
Chapter Board members are (in alphabetical order):<br />
[mailto:achim@owasp.org Achim Hoffmann],<br />
[mailto:alexios.fakos@owasp.org Alexios Fakos],<br />
[mailto:bastian.braun@owasp.org Bastian Braun],<br />
[mailto:boris@owasp.org Boris],<br />
[mailto:hartwig.gelhausen@owasp.org Hartwig Gelhausen],<br />
[mailto:ingo.hanke@owasp.org Ingo Hanke],<br />
[mailto:?? Jan Philipp],<br />
[mailto:jan.wolff@owasp.org Jan Wolff],<br />
[mailto:kai@owasp.org Kai Jendrian],<br />
[mailto:martin.johns@owasp.org Martin Johns],<br />
[mailto:michael.schaefer@owasp.org Michael Schäfer],<br />
[mailto:tobias.glemser@owasp.org Tobias Glemser],<br />
[mailto:tom.schoen@owasp.org Tom Schoen],<br />
[mailto:dirk@owasp.org Dirk Wetter].<br />
<br />
;Twitter: <u>[https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]</u><br />
;Mailing-Liste: <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org]</u> <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u><br />
----<br />
<br />
<br />
=== Projekte des German Chapter ===<br />
----<br />
Das German Chapter initiiert oder beteiligt sich an <u>[[:Category:OWASP_Project|OWASP Projekten]]</u>. Was das deutsche Chapter auf die Beine gestellt hat, kann sich blicken lassen, ein Ausschnitt:<br />
<br />
* OWASP Top 10 Privacy Risks Project<br />
* OWASP Top 10 für Entwickler<br />
* OWASP Top 10 2013: Deutsche Übersetzung<br />
* OWASP SSL advanced forensic tool - O-Saft<br />
* Best Practices: Web Application Firewalls<br />
<br />
Mehr? Siehe Liste der <u>[[Germany/Projekte|deutschen Projekte]]</u>.<br />
<br />
<br />
=== OWASP Stammtisch-Initiative ===<br />
----<br />
<br />
In mehreren Städten gibt es <u>[[Germany/Stammtisch_Initiative|OWASP-Stammtische]]</u>, bei denen man sich in lockerer Runde trifft, um sich auszutauschen, nette Leute kennenzulernen oder ernsthafte Sicherheitsthemen zu diskutieren -- meinstens mit Vortrag.<br />
<br />
Aktive Stammtische gibt es (Stand Dezember 2015) in: <br />
[[OWASP_German_Chapter_Stammtisch_Initiative/München|München]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Frankfurt|Frankfurt]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Stuttgart|Stuttgart]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Köln|Köln]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Hamburg|Hamburg]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Karlsruhe|Karlsruhe]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Dresden|Dresden]],<br />
[[OWASP_German_Chapter_Stammtisch_Initiative/Ruhrpott|Ruhrpott]]<br />
<br />
=== Aktuelleres / Historisches ===<br />
;29.11.2016: [[German_OWASP_Day_2016|8ter German OWASP Day in Darmstadt]]<br />
----<br />
;01.12.2015: [[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]<br />
;06.10.2015: Das OWASP German Chapter wird auch in diesem Jahr dank der Unterstützung der Nürnberg Messe auf der it-sa mit einem eigenen Stand (12.0-123) vertreten sein. Wir freuen uns auf spannende Gespräche am Stand. <br />
<!--<br />
[[Image:it-sa-2015-Logo-rgb-72dpi.jpg|300px|center|link=https://www.it-sa.de/|Logo it-sa Fair]]<br />
Ich habe das Logo weggenommen, da it-sa eine kommerzielle Organisation ist (dirk)<br />
--><br />
;13.04.2015: <u>[https://lists.owasp.org/pipermail/owasp-germany/2015-March/000758.html German OWASP Chapter Meeting]</u> in Frankfurt <br />
;23.01.2015: Übesetzung der '''OWASP Top 10 von 2013''' in Deutsch <u>[[Germany/Projekte/Top_10|OWASP Top 10: Deutsche Übersetzung]]</u><br />
;09.12.2014: <u>[[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]</u><br />
;14.03.2014: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind <u>[[Germany/Chapter_Meetings|hier]]</u> zu finden.<br />
;20. - 23.08.2013: Das German Chapter veranstaltete die <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
;10.08.2013: Partnerschaft mit dem <u>[http://www.isaca.de/ ISACA Germany Chapter e.V.]</u>: Zum Nutzen für Mitgleider beider Seiten wurde mit dem ISACA Germany Chapter e.V. eine Partnerschaft geschlossen. Die Partnerschaft ermöglicht es Mitgliedern des ISACA Germany Chapter e.V. an der OWASP AppSec Research 2013 zu vergünstigten Konditionen teilzunehmen. Das OWASP German Chapter erhält Gelegenheit auf ISACA Konferenzen präsent zu sein. Wir freuen uns sehr auf die Partnerschaft.<br />
;01.07.2013: Programm für AppSec Research EU 2013 ist <u>[http://owaspappseceu2013.sched.org/ online]</u> <!-- http://sched.appsec.eu/ ist Tracking-Seite, grrrr --><br />
;10.06.2013: Registrierung für AppSec Research EU 2013 ist hier <u>[https://appsec.eu/registration/ https://appsec.eu/registration/]</u> .<br />
;17.05.2013: OWASP Germany Chapter Meeting in Frankfurt; Details und Agenda sind <u>[[Germany/Chapter_Meetings|hier]]</u> zu finden.<br />
;22.02.2013: German Chapter Meeting findet am '''17.05.2013''' in Frankfurt statt.<br />
;5.12.2012: Das German Chapter veranstaltet die <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
: The German Chapter is proud announcing <u>[[AppSecEU2013|date and location]]</u> of AppSecEU 2013.<br />
;10.11.2012: <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]:</u> Die hochrangige Websicherheitskonferenz war ein voller Erfolg: Dank gilt allen Besuchern -- gut ein Drittel mehr als letztes Jahr -- Sprechern und Sponsoren.<br />
;07.11.2012: <u>[[Germany/Chaptersponsor|Chapter Sponsoring]]</u> möglich.<br />
;03.11.2012: Webseite des [[Germany|OWASP German Chapter]] neu strukturiert.<br />
;10.09.2012: <u>[[German_OWASP_Day_2012/Programm|Programm]]</u> für <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u> in München am 7.11.2012 steht<br />
;13.07.2012: Am Ende der AppSecEU 2012 wurde offiziell verkündet, dass das Deutsche Chapter die AppSec Research 2013 hostet. Ort Hamburg, Zeit: Juli <br />
;02.05.2012: Call for Presentations eröffnet für <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u>. Ort: München<br />
<br />
Weitere Nachrichten sind <u>[[Germany/Aktuelles|im Archiv]]</u>.<br />
<br />
=== Unsere Konferenzen ===<br />
----<br />
;01.12.2015: <u>[[German_OWASP_Day_2015|7ter German OWASP Day in Frankfurt/Main]]</u><br />
;09.12.2014: <u>[[German_OWASP_Day_2014|6ter German OWASP Day in Hamburg]]</u><br />
;20-23.08.2013: Das German Chapter organisierte die (europäische) <u>[[AppSecEU2013|OWASP AppSec Europe Research 2013]]</u>.<br />
;7.11.2012: <u>[[German_OWASP_Day_2012|German OWASP Day 2012]]</u> in München<br />
<br />
Eine Liste aller vom OWASP German Chapter durchgeführten Konferenzen ist <u>[[Germany/Konferenzen|hier]]</u> zu finden.<br />
<br />
=== Chapter Meetings ===<br />
----<br />
Nächstes Chapter Meeting am '''28.11.2016''' in Darmstadt, siehe <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>.<br />
<br />
Das German Chapter trifft sich in unregelmäßigen Abständen, um die Arbeit innerhalb des German Chapter zu organisieren. Unser Chapter hat die Besonderheit, dass wir unter unserem Dach, die einzelnen Stammtische haben -- die in anderen Ländern als Chapter organisiert sind. Insofern sind<br />
unsere Chapter Meetings eine Mischung aus Vortrag und Organisation.<br />
<br />
Gemäß dem ''O'' in OWASP für ''open'' sind diese Treffen öffentlich. Jedermann kann daran teilnehmen und sich ander Arbeit im Chpater beteiligen. Der Termin zum Treffen -- Chapter Meeting -- wird auf dieser Seite bekannt gegegebn, zusammen mit der Agenda. Selbstverständlich sind auch alle Ergebnisse der Treffen öffentlich. Was auf den vergangenen Treffen jeweils besprochen / beschlossen wurde ist auf der <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>-Seite zu finden.<br />
<br />
Letztes Chapter Meeting war am '''13.04.2015''' in Frankfurt. Details sind auf der <u>[[Germany/Chapter_Meetings|Chapter Meetings]]</u>-Seite zu finden<br />
<br />
=== So erreichen Sie uns ===<br />
----<br />
;E-Mail: ...in Kürze ... <!-- [mailto:kontakt@owasp.de] [mailto:info@owasp.de] --><br />
;Twitter: <u>[https://twitter.com/#!/search/OWASP_de Twitter: @OWASP_de]</u><br />
;Mailing-Liste: <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany owasp-germany@lists.owasp.org]</u> <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u><br />
<br />
Mitarbeit am OWASP German Chapter ist willkommen. Wir freuen uns auf Beiträge in unserer <u>[https://lists.owasp.org/mailman/listinfo/owasp-germany Mailingliste]</u>. Diese sollten natürlich einen Bezug zu (Web-)Anwendungssicherheit haben. Denkbar sind also u. A. Fragen, Tipps, aktuelle Hinweise, Stellenangebote oder Projektgesuche. Es gibt auch ein <u>[https://lists.owasp.org/pipermail/owasp-germany Mailarchiv]</u> von der Liste. Wenn Sie nicht an den Meetings teilnehmen können, kontaktieren Sie einfach einen der German Chapter Board Members (siehe oben) oder schreiben Sie eine E-Mail an uns [mailto:owasp-germany@lists.owasp.org chapter mailing list].<br />
<br />
=== Presse ===<br />
----<br />
Informationen für die Presse finden sich <u>[[Germany/press|hier]]</u><br />
<br />
<br />
=== Sponsoren des German OWASP Chapters ===<br />
<br />
<!-- Sponsoren: bitte 3-spaltige Tabelle benutzen, damit genuegend Abstand zwischen den Bildern --><br />
{| width="99%" style="background-color:inherit;"<br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]]<br />
|-<br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
| [[Image:Cyberday-logo_8700px_square.png|link=https://www.cyberday-gmbh.de|www.cyberday-gmbh.de]]<br />
|-<br />
| [[Image:Banner_TUViT.png|link=https://www.tuvit.de/de|www.tuvit.de]]<br />
| [[Image:xcellent_8700px.png|link=http://www.x-cellent.com|www.x-cellent.com]]<br />
|-<br />
| [[Image:xing_logo.png|link=https://corporate.xing.com/english/company/security-at-xing/|www.xing.com]]<br />
| [[Image:acunetix_max_8700px.png|link=https://www.acunetix.com/|www.acunetix.com]]<br />
|-|<br />
|-<br />
| [[Image:binsec.png|link=http://www.binsec.de/|www.binsec.de]]<br />
| <br />
|-|<br />
|<br />
|<br />
|}<br />
<br />
Unser Angebot an Sponsoren / Offer for Chapter Sponsors: <u>[[Germany/Chaptersponsor|OWASP German Chapter Sponsorship]]</u>.<br />
<br />
<br />
<br />
----<br />
<small>(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)</small><br />
<br />
[[Category:Germany]] [[Category:Europe]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=223331German OWASP Day 20162016-11-10T16:15:08Z<p>Martinj: /* Talks und Abstracts */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
===[https://www.regonline.com/owaspgermanday2016 Die Registrierung ist eröffnet!]===<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security: Facing Information Security Threats''' <br> ''Tobias Millauer (Daimler)'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Reverse Engineering Android Apps With CodeInspect'''<br> ''Siegfried Rasthofer''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun: Der Secure Development Lifecycle in der agilen Praxis <br />
* Björn Kimminich: What's new in OWASP Juice Shop?<br />
* Juraj Somorovsky: TLS-Attacker (Systematic Fuzzing and Testing of TLS Libraries)<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr''<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel''<br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: CarIT Security: Facing Information Security Threats ===<br />
<br />
''Abstract:'' The principal objective of this keynote is to demonstrate existing frameworks, tools and methodologies to face automotive cyber security threats. The main threat for automobile manufacturers is that the car architecture has not been designed for Internet access, whereas in recent years, internet access has been added retrospectively on top of the traditional architecture. Automobiles are nowadays cyber-physical systems, whereby new challenges arise since technologies and development methods for safety are not applicable for security. Information security processes of connected cars have an impact on customer satisfaction as CarIT Security protects the life of vehicle occupants and privacy ensures data protection of personally identifiable information. The role of information security must be to ensure transparency across the threats, whereby the Board of Management must be put in a position to recognize information security threats. Information Security Risk Management provides the opportunity to raise the required management attention.<br />
<br />
''Bio:'' Tobias Millauer is an Information Security Architect CarIT at Daimler’s Global Information Security department, where he advises projects on CarIT Security and ensures CarIT Security Governance. He studied IT Security at the University of Applied Sciences St. Pölten and the Bern University of Applied Sciences. His bachelor thesis examined how business growth through information security will be achieved for automobile manufacturers. Millauer is currently working towards his Master's degree in Information Security Management at University of Applied Sciences Hagenberg with focus on Corporate Governance and Risk Management.<br />
<br />
----<br />
<br />
'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br />
<br />
''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.<br />
<br />
In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.<br />
<br />
----<br />
<br />
'''Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle'''<br />
<br />
''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren. <br />
<br />
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures. <br />
<br />
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.<br />
<br />
----<br />
<br />
'''Matthias Rohr: Sicherheit agil Testen'''<br />
<br />
''Abstract:'' Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden. <br />
<br />
Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints. <br />
<br />
In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen.<br />
<br />
----<br />
<br />
'''Andreas Falk: Sicher in die Cloud mit Angular 2 und Spring Boot'''<br />
<br />
''Abstract:'' Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt.<br />
Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht.<br />
Doch wie steht es um die Sicherheit derartiger Anwendungen?<br />
Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen.<br />
Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend.<br />
Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.<br />
<br />
---- <br />
<br />
'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br />
<br />
''Abstract:'' Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten. <br />
<br />
Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden. <br />
<br />
In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben. <br />
<br />
----<br />
<br />
'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br />
<br />
''Abstract:'' Content Security Policy is a web platform mechanism designed <br />
to mitigate cross-site scripting (XSS), the top security <br />
vulnerability in modern web applications [24]. In this talk, <br />
we take a closer look at the practical benefits of adopting <br />
CSP and identify significant flaws in real-world deployments <br />
that result in bypasses in 94.72% of all distinct policies. <br />
We base our Internet-wide analysis on a search engine corpus <br />
of approximately 100 billion pages from over 1 billion <br />
hostnames; the result covers CSP deployments on 1,680,867 <br />
hosts with 26,011 unique CSP policies – the most comprehensive <br />
study to date. We introduce the security-relevant <br />
aspects of the CSP specification and provide an in-depth <br />
analysis of its threat model, focusing on XSS protections. <br />
We identify three common classes of CSP bypasses and explain <br />
how they subvert the security of a policy. <br />
We then turn to a quantitative analysis of policies deployed <br />
on the Internet in order to understand their security <br />
benefits. We observe that 14 out of the 15 domains <br />
most commonly whitelisted for loading scripts contain unsafe <br />
endpoints; as a consequence, 75.81% of distinct policies <br />
use script whitelists that allow attackers to bypass CSP. In <br />
total, we find that 94.68% of policies that attempt to limit <br />
script execution are ineffective, and that 99.34% of hosts <br />
with CSP use policies that offer no benefit against XSS. <br />
Finally, we propose the ’strict-dynamic’ keyword, an <br />
addition to the specification that facilitates the creation of <br />
policies based on cryptographic nonces, without relying on <br />
domain whitelists. We discuss our experience deploying such <br />
a nonce-based policy in a complex application and provide <br />
guidance to web authors for improving their policies.<br />
<br />
----<br />
<br />
'''Christian Schneider. Java Deserialization Attacks: Angriff & Verteidigung'''<br />
<br />
''Abstract:'' Dieser Talk gibt einen fundierten Überblick über den aktuellen Stand zum Thema Angriffe auf Java Deserialisierung: Nach einer kurzen Analyse des Grundproblems hinter der Verwundbarkeit am Beispiel realer Gadgets lernen Sie die mittlerweile verfügbaren Exploitation-Werkzeuge zur Ausnutzung von Deserialization-Endpoints kennen. Weiterhin werden wertvolle Tipps zum Auffinden von Gadgets und Endpoints mittels statischer Analyse (SAST) sowie dynamisch bei Pentests (DAST) vermittelt. <br />
<br />
Der defensive Part des Talks widmet sich den Möglichkeiten zur Absicherung: Am Beispiel von Bypässen bestimmter Härtungsmaßnahmen werden deren Wirkungsgrade analysiert. Abschließend zeige ich, dass das Thema Java Deserialisierung nicht nur Java direkt betrifft, sondern auch auf der JVM verfügbare andere Sprachen. <br />
<br />
----<br />
<br />
'''Patrick Spiegel. NoSQL Injection revisited'''<br />
<br />
''Abstract:'' In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges, but do they provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “<br />
This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases – MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kinds of requests can be crafted that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.<br />
<br />
----<br />
<br />
'''Siegfried Rasthofer: Reverse Engineering Android Apps With CodeInspect'''<br />
<br />
''Abstract:'' Android malware is getting more and more sophisticated. To impede analysis, modern malware families use various anti-analysis techniques such as packers, detectors for emulators or tamper detection mechanisms. Current static code-analysis tools quickly reach their limits with heavily obfuscated code. Dynamic code analysis tools, on the other hand, are frequently tricked by emulator detection. If malware applications use such techniques in combination, this can causes many automatic code-analysis tools to fail, due to their intrinsic limitations, leaving a manual analysis as the only viable option - a very difficult and time-consuming undertaking.<br />
<br />
To alleviate the problem, we propose CodeInspect, a new integrated reverse-engineering environment targeting sophisticated state-of-the-art malware apps for Android. With features such as interactive debugging on a human readable representation of the application’s bytecode, CodeInspect aims to greatly reduce the time an analyst requires to understand and judge applications. Using CodeInspect, the engineer can debug the app live, can rename (obfuscated) identifiers, jump to definitions, remove or add statements and more. It further includes extensions for a fully-automatic de-obfuscation of reflective method calls, string de-obfuscation and a very precise dataflow tracking component that shows suspicious flows from sensitive sources to public sinks, all of which can be easily used in combination.<br />
<br />
In this talk, we will introduce CodeInspect and give a live demo on analyzing current malicious applications containing cutting-edge anti-analysis techniques.<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
===[https://www.regonline.com/owaspgermanday2016 !!! Die Registrierung ist eröffnet !!!]===<br />
<br />
Da wir auch dieses Jahr eine beschränkte Teilnehmerzahl von 150 haben, ist es ratsam, sich umgehend anzumelden. <br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=223313German OWASP Day 20162016-11-10T10:09:33Z<p>Martinj: /* Programm */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
===[https://www.regonline.com/owaspgermanday2016 Die Registrierung ist eröffnet!]===<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security: Facing Information Security Threats''' <br> ''Tobias Millauer (Daimler)'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Reverse Engineering Android Apps With CodeInspect'''<br> ''Siegfried Rasthofer''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
<br />
* Bastian Braun: Der Secure Development Lifecycle in der agilen Praxis <br />
* Björn Kimminich: What's new in OWASP Juice Shop?<br />
* Juraj Somorovsky: TLS-Attacker (Systematic Fuzzing and Testing of TLS Libraries)<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr''<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel''<br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: CarIT Security: Facing Information Security Threats ===<br />
<br />
''Abstract:'' The principal objective of this keynote is to demonstrate existing frameworks, tools and methodologies to face automotive cyber security threats. The main threat for automobile manufacturers is that the car architecture has not been designed for Internet access, whereas in recent years, internet access has been added retrospectively on top of the traditional architecture. Automobiles are nowadays cyber-physical systems, whereby new challenges arise since technologies and development methods for safety are not applicable for security. Information security processes of connected cars have an impact on customer satisfaction as CarIT Security protects the life of vehicle occupants and privacy ensures data protection of personally identifiable information. The role of information security must be to ensure transparency across the threats, whereby the Board of Management must be put in a position to recognize information security threats. Information Security Risk Management provides the opportunity to raise the required management attention.<br />
<br />
''Bio:'' Tobias Millauer is an Information Security Architect CarIT at Daimler’s Global Information Security department, where he advises projects on CarIT Security and ensures CarIT Security Governance. He studied IT Security at the University of Applied Sciences St. Pölten and the Bern University of Applied Sciences. His bachelor thesis examined how business growth through information security will be achieved for automobile manufacturers. Millauer is currently working towards his Master's degree in Information Security Management at University of Applied Sciences Hagenberg with focus on Corporate Governance and Risk Management.<br />
<br />
----<br />
<br />
'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br />
<br />
''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.<br />
<br />
In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.<br />
<br />
----<br />
<br />
'''Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle'''<br />
<br />
''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren. <br />
<br />
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures. <br />
<br />
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.<br />
<br />
----<br />
<br />
'''Matthias Rohr: Sicherheit agil Testen'''<br />
<br />
''Abstract:'' Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden. <br />
<br />
Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints. <br />
<br />
In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen.<br />
<br />
----<br />
<br />
'''Andreas Falk: Sicher in die Cloud mit Angular 2 und Spring Boot'''<br />
<br />
''Abstract:'' Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt.<br />
Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht.<br />
Doch wie steht es um die Sicherheit derartiger Anwendungen?<br />
Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen.<br />
Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend.<br />
Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.<br />
<br />
---- <br />
<br />
'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br />
<br />
''Abstract:'' Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten. <br />
<br />
Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden. <br />
<br />
In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben. <br />
<br />
----<br />
<br />
'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br />
<br />
''Abstract:'' Content Security Policy is a web platform mechanism designed <br />
to mitigate cross-site scripting (XSS), the top security <br />
vulnerability in modern web applications [24]. In this talk, <br />
we take a closer look at the practical benefits of adopting <br />
CSP and identify significant flaws in real-world deployments <br />
that result in bypasses in 94.72% of all distinct policies. <br />
We base our Internet-wide analysis on a search engine corpus <br />
of approximately 100 billion pages from over 1 billion <br />
hostnames; the result covers CSP deployments on 1,680,867 <br />
hosts with 26,011 unique CSP policies – the most comprehensive <br />
study to date. We introduce the security-relevant <br />
aspects of the CSP specification and provide an in-depth <br />
analysis of its threat model, focusing on XSS protections. <br />
We identify three common classes of CSP bypasses and explain <br />
how they subvert the security of a policy. <br />
We then turn to a quantitative analysis of policies deployed <br />
on the Internet in order to understand their security <br />
benefits. We observe that 14 out of the 15 domains <br />
most commonly whitelisted for loading scripts contain unsafe <br />
endpoints; as a consequence, 75.81% of distinct policies <br />
use script whitelists that allow attackers to bypass CSP. In <br />
total, we find that 94.68% of policies that attempt to limit <br />
script execution are ineffective, and that 99.34% of hosts <br />
with CSP use policies that offer no benefit against XSS. <br />
Finally, we propose the ’strict-dynamic’ keyword, an <br />
addition to the specification that facilitates the creation of <br />
policies based on cryptographic nonces, without relying on <br />
domain whitelists. We discuss our experience deploying such <br />
a nonce-based policy in a complex application and provide <br />
guidance to web authors for improving their policies.<br />
<br />
----<br />
<br />
'''Christian Schneider. Java Deserialization Attacks: Angriff & Verteidigung'''<br />
<br />
''Abstract:'' Dieser Talk gibt einen fundierten Überblick über den aktuellen Stand zum Thema Angriffe auf Java Deserialisierung: Nach einer kurzen Analyse des Grundproblems hinter der Verwundbarkeit am Beispiel realer Gadgets lernen Sie die mittlerweile verfügbaren Exploitation-Werkzeuge zur Ausnutzung von Deserialization-Endpoints kennen. Weiterhin werden wertvolle Tipps zum Auffinden von Gadgets und Endpoints mittels statischer Analyse (SAST) sowie dynamisch bei Pentests (DAST) vermittelt. <br />
<br />
Der defensive Part des Talks widmet sich den Möglichkeiten zur Absicherung: Am Beispiel von Bypässen bestimmter Härtungsmaßnahmen werden deren Wirkungsgrade analysiert. Abschließend zeige ich, dass das Thema Java Deserialisierung nicht nur Java direkt betrifft, sondern auch auf der JVM verfügbare andere Sprachen. <br />
<br />
----<br />
<br />
'''Patrick Spiegel. NoSQL Injection revisited'''<br />
<br />
''Abstract:'' In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges, but do they provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “<br />
This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases – MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kinds of requests can be crafted that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
===[https://www.regonline.com/owaspgermanday2016 !!! Die Registrierung ist eröffnet !!!]===<br />
<br />
Da wir auch dieses Jahr eine beschränkte Teilnehmerzahl von 150 haben, ist es ratsam, sich umgehend anzumelden. <br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=222857German OWASP Day 20162016-10-29T15:13:49Z<p>Martinj: /* Talks und Abstracts */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
===[https://www.regonline.com/owaspgermanday2016 Die Registrierung ist eröffnet!]===<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security: Facing Information Security Threats''' <br> ''Tobias Millauer (Daimler)'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''T.B.A.'''<br> ''T.B.A.''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
T.B.A. <br />
<!-- * Björn Kimminich: [[Media:Juice Shop An intentionally insecure Javascript Web Application - Björn Kimminich.pdf|Hacking the Juice Shop "So ein Saftladen!"]]<br />
* Christian Mainka, Vladislav Mladenov and Tim Guenther: [[Media:EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On - Vladislav Mladenov+Tim Guenther.pdf|EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On]]<br />
* Ralf Reinhardt: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex auf Deutsch]]<br />
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker --><br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr''<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel''<br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
=== Keynote: CarIT Security: Facing Information Security Threats ===<br />
<br />
''Abstract:'' The principal objective of this keynote is to demonstrate existing frameworks, tools and methodologies to face automotive cyber security threats. The main threat for automobile manufacturers is that the car architecture has not been designed for Internet access, whereas in recent years, internet access has been added retrospectively on top of the traditional architecture. Automobiles are nowadays cyber-physical systems, whereby new challenges arise since technologies and development methods for safety are not applicable for security. Information security processes of connected cars have an impact on customer satisfaction as CarIT Security protects the life of vehicle occupants and privacy ensures data protection of personally identifiable information. The role of information security must be to ensure transparency across the threats, whereby the Board of Management must be put in a position to recognize information security threats. Information Security Risk Management provides the opportunity to raise the required management attention.<br />
<br />
''Bio:'' Tobias Millauer is an Information Security Architect CarIT at Daimler’s Global Information Security department, where he advises projects on CarIT Security and ensures CarIT Security Governance. He studied IT Security at the University of Applied Sciences St. Pölten and the Bern University of Applied Sciences. His bachelor thesis examined how business growth through information security will be achieved for automobile manufacturers. Millauer is currently working towards his Master's degree in Information Security Management at University of Applied Sciences Hagenberg with focus on Corporate Governance and Risk Management.<br />
<br />
----<br />
<br />
'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br />
<br />
''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.<br />
<br />
In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.<br />
<br />
----<br />
<br />
'''Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle'''<br />
<br />
''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren. <br />
<br />
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures. <br />
<br />
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.<br />
<br />
----<br />
<br />
'''Matthias Rohr: Sicherheit agil Testen'''<br />
<br />
''Abstract:'' Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden. <br />
<br />
Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints. <br />
<br />
In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen.<br />
<br />
----<br />
<br />
'''Andreas Falk: Sicher in die Cloud mit Angular 2 und Spring Boot'''<br />
<br />
''Abstract:'' Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt.<br />
Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht.<br />
Doch wie steht es um die Sicherheit derartiger Anwendungen?<br />
Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen.<br />
Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend.<br />
Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.<br />
<br />
---- <br />
<br />
'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br />
<br />
''Abstract:'' Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten. <br />
<br />
Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden. <br />
<br />
In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben. <br />
<br />
----<br />
<br />
'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br />
<br />
''Abstract:'' Content Security Policy is a web platform mechanism designed <br />
to mitigate cross-site scripting (XSS), the top security <br />
vulnerability in modern web applications [24]. In this talk, <br />
we take a closer look at the practical benefits of adopting <br />
CSP and identify significant flaws in real-world deployments <br />
that result in bypasses in 94.72% of all distinct policies. <br />
We base our Internet-wide analysis on a search engine corpus <br />
of approximately 100 billion pages from over 1 billion <br />
hostnames; the result covers CSP deployments on 1,680,867 <br />
hosts with 26,011 unique CSP policies – the most comprehensive <br />
study to date. We introduce the security-relevant <br />
aspects of the CSP specification and provide an in-depth <br />
analysis of its threat model, focusing on XSS protections. <br />
We identify three common classes of CSP bypasses and explain <br />
how they subvert the security of a policy. <br />
We then turn to a quantitative analysis of policies deployed <br />
on the Internet in order to understand their security <br />
benefits. We observe that 14 out of the 15 domains <br />
most commonly whitelisted for loading scripts contain unsafe <br />
endpoints; as a consequence, 75.81% of distinct policies <br />
use script whitelists that allow attackers to bypass CSP. In <br />
total, we find that 94.68% of policies that attempt to limit <br />
script execution are ineffective, and that 99.34% of hosts <br />
with CSP use policies that offer no benefit against XSS. <br />
Finally, we propose the ’strict-dynamic’ keyword, an <br />
addition to the specification that facilitates the creation of <br />
policies based on cryptographic nonces, without relying on <br />
domain whitelists. We discuss our experience deploying such <br />
a nonce-based policy in a complex application and provide <br />
guidance to web authors for improving their policies.<br />
<br />
----<br />
<br />
'''Christian Schneider. Java Deserialization Attacks: Angriff & Verteidigung'''<br />
<br />
''Abstract:'' Dieser Talk gibt einen fundierten Überblick über den aktuellen Stand zum Thema Angriffe auf Java Deserialisierung: Nach einer kurzen Analyse des Grundproblems hinter der Verwundbarkeit am Beispiel realer Gadgets lernen Sie die mittlerweile verfügbaren Exploitation-Werkzeuge zur Ausnutzung von Deserialization-Endpoints kennen. Weiterhin werden wertvolle Tipps zum Auffinden von Gadgets und Endpoints mittels statischer Analyse (SAST) sowie dynamisch bei Pentests (DAST) vermittelt. <br />
<br />
Der defensive Part des Talks widmet sich den Möglichkeiten zur Absicherung: Am Beispiel von Bypässen bestimmter Härtungsmaßnahmen werden deren Wirkungsgrade analysiert. Abschließend zeige ich, dass das Thema Java Deserialisierung nicht nur Java direkt betrifft, sondern auch auf der JVM verfügbare andere Sprachen. <br />
<br />
----<br />
<br />
'''Patrick Spiegel. NoSQL Injection revisited'''<br />
<br />
''Abstract:'' In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges, but do they provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “<br />
This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases – MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kinds of requests can be crafted that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
===[https://www.regonline.com/owaspgermanday2016 !!! Die Registrierung ist eröffnet !!!]===<br />
<br />
Da wir auch dieses Jahr eine beschränkte Teilnehmerzahl von 150 haben, ist es ratsam, sich umgehend anzumelden. <br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=222856German OWASP Day 20162016-10-29T15:12:30Z<p>Martinj: /* Programm */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
===[https://www.regonline.com/owaspgermanday2016 Die Registrierung ist eröffnet!]===<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:Schutzwerk-300x29.png|link=http://www.schutzwerk.com|www.schutzwerk.com]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:sicsec_logo_was_OWASP_20121218_small.png|link=http://www.sicsec.de|www.sicsec.de]]<br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:cxt_logo_8700.png|link=http://www.contextis.com/|www.contextis.com]] <br />
|<br />
|<br />
|<br />
|-<br />
| <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security: Facing Information Security Threats''' <br> ''Tobias Millauer (Daimler)'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''T.B.A.'''<br> ''T.B.A.''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
T.B.A. <br />
<!-- * Björn Kimminich: [[Media:Juice Shop An intentionally insecure Javascript Web Application - Björn Kimminich.pdf|Hacking the Juice Shop "So ein Saftladen!"]]<br />
* Christian Mainka, Vladislav Mladenov and Tim Guenther: [[Media:EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On - Vladislav Mladenov+Tim Guenther.pdf|EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On]]<br />
* Ralf Reinhardt: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex auf Deutsch]]<br />
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker --><br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr''<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel''<br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br />
<br />
''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.<br />
<br />
In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.<br />
<br />
----<br />
<br />
'''Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle'''<br />
<br />
''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren. <br />
<br />
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures. <br />
<br />
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.<br />
<br />
----<br />
<br />
'''Matthias Rohr: Sicherheit agil Testen'''<br />
<br />
''Abstract:'' Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden. <br />
<br />
Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints. <br />
<br />
In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen.<br />
<br />
----<br />
<br />
'''Andreas Falk: Sicher in die Cloud mit Angular 2 und Spring Boot'''<br />
<br />
''Abstract:'' Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt.<br />
Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht.<br />
Doch wie steht es um die Sicherheit derartiger Anwendungen?<br />
Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen.<br />
Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend.<br />
Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.<br />
<br />
---- <br />
<br />
'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br />
<br />
''Abstract:'' Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten. <br />
<br />
Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden. <br />
<br />
In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben. <br />
<br />
----<br />
<br />
'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br />
<br />
''Abstract:'' Content Security Policy is a web platform mechanism designed <br />
to mitigate cross-site scripting (XSS), the top security <br />
vulnerability in modern web applications [24]. In this talk, <br />
we take a closer look at the practical benefits of adopting <br />
CSP and identify significant flaws in real-world deployments <br />
that result in bypasses in 94.72% of all distinct policies. <br />
We base our Internet-wide analysis on a search engine corpus <br />
of approximately 100 billion pages from over 1 billion <br />
hostnames; the result covers CSP deployments on 1,680,867 <br />
hosts with 26,011 unique CSP policies – the most comprehensive <br />
study to date. We introduce the security-relevant <br />
aspects of the CSP specification and provide an in-depth <br />
analysis of its threat model, focusing on XSS protections. <br />
We identify three common classes of CSP bypasses and explain <br />
how they subvert the security of a policy. <br />
We then turn to a quantitative analysis of policies deployed <br />
on the Internet in order to understand their security <br />
benefits. We observe that 14 out of the 15 domains <br />
most commonly whitelisted for loading scripts contain unsafe <br />
endpoints; as a consequence, 75.81% of distinct policies <br />
use script whitelists that allow attackers to bypass CSP. In <br />
total, we find that 94.68% of policies that attempt to limit <br />
script execution are ineffective, and that 99.34% of hosts <br />
with CSP use policies that offer no benefit against XSS. <br />
Finally, we propose the ’strict-dynamic’ keyword, an <br />
addition to the specification that facilitates the creation of <br />
policies based on cryptographic nonces, without relying on <br />
domain whitelists. We discuss our experience deploying such <br />
a nonce-based policy in a complex application and provide <br />
guidance to web authors for improving their policies.<br />
<br />
----<br />
<br />
'''Christian Schneider. Java Deserialization Attacks: Angriff & Verteidigung'''<br />
<br />
''Abstract:'' Dieser Talk gibt einen fundierten Überblick über den aktuellen Stand zum Thema Angriffe auf Java Deserialisierung: Nach einer kurzen Analyse des Grundproblems hinter der Verwundbarkeit am Beispiel realer Gadgets lernen Sie die mittlerweile verfügbaren Exploitation-Werkzeuge zur Ausnutzung von Deserialization-Endpoints kennen. Weiterhin werden wertvolle Tipps zum Auffinden von Gadgets und Endpoints mittels statischer Analyse (SAST) sowie dynamisch bei Pentests (DAST) vermittelt. <br />
<br />
Der defensive Part des Talks widmet sich den Möglichkeiten zur Absicherung: Am Beispiel von Bypässen bestimmter Härtungsmaßnahmen werden deren Wirkungsgrade analysiert. Abschließend zeige ich, dass das Thema Java Deserialisierung nicht nur Java direkt betrifft, sondern auch auf der JVM verfügbare andere Sprachen. <br />
<br />
----<br />
<br />
'''Patrick Spiegel. NoSQL Injection revisited'''<br />
<br />
''Abstract:'' In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges, but do they provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “<br />
This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases – MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kinds of requests can be crafted that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
===[https://www.regonline.com/owaspgermanday2016 !!! Die Registrierung ist eröffnet !!!]===<br />
<br />
Da wir auch dieses Jahr eine beschränkte Teilnehmerzahl von 150 haben, ist es ratsam, sich umgehend anzumelden. <br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=222612German OWASP Day 20162016-10-23T21:13:12Z<p>Martinj: /* Talks und Abstracts */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
===[https://www.regonline.com/owaspgermanday2016 Die Registrierung ist eröffnet!]===<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security''' (genauer Titel t.b.a.) <br> ''Tobias Millauer (Daimler)'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''T.B.A.'''<br> ''T.B.A.''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
T.B.A. <br />
<!-- * Björn Kimminich: [[Media:Juice Shop An intentionally insecure Javascript Web Application - Björn Kimminich.pdf|Hacking the Juice Shop "So ein Saftladen!"]]<br />
* Christian Mainka, Vladislav Mladenov and Tim Guenther: [[Media:EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On - Vladislav Mladenov+Tim Guenther.pdf|EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On]]<br />
* Ralf Reinhardt: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex auf Deutsch]]<br />
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker --><br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr''<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel''<br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br />
<br />
''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.<br />
<br />
In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.<br />
<br />
----<br />
<br />
'''Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle'''<br />
<br />
''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren. <br />
<br />
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures. <br />
<br />
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.<br />
<br />
----<br />
<br />
'''Matthias Rohr: Sicherheit agil Testen'''<br />
<br />
''Abstract:'' Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden. <br />
<br />
Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints. <br />
<br />
In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen.<br />
Andreas Falk. Sicher in die Cloud mit Angular 2 und Spring Boot<br />
Abstract: Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt.<br />
Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht.<br />
Doch wie steht es um die Sicherheit derartiger Anwendungen?<br />
Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen.<br />
Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend.<br />
Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.<br />
<br />
---- <br />
<br />
'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br />
<br />
''Abstract:'' Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten. <br />
<br />
Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden. <br />
<br />
In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben. <br />
<br />
----<br />
<br />
'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br />
<br />
''Abstract:'' Content Security Policy is a web platform mechanism designed <br />
to mitigate cross-site scripting (XSS), the top security <br />
vulnerability in modern web applications [24]. In this talk, <br />
we take a closer look at the practical benefits of adopting <br />
CSP and identify significant flaws in real-world deployments <br />
that result in bypasses in 94.72% of all distinct policies. <br />
We base our Internet-wide analysis on a search engine corpus <br />
of approximately 100 billion pages from over 1 billion <br />
hostnames; the result covers CSP deployments on 1,680,867 <br />
hosts with 26,011 unique CSP policies – the most comprehensive <br />
study to date. We introduce the security-relevant <br />
aspects of the CSP specification and provide an in-depth <br />
analysis of its threat model, focusing on XSS protections. <br />
We identify three common classes of CSP bypasses and explain <br />
how they subvert the security of a policy. <br />
We then turn to a quantitative analysis of policies deployed <br />
on the Internet in order to understand their security <br />
benefits. We observe that 14 out of the 15 domains <br />
most commonly whitelisted for loading scripts contain unsafe <br />
endpoints; as a consequence, 75.81% of distinct policies <br />
use script whitelists that allow attackers to bypass CSP. In <br />
total, we find that 94.68% of policies that attempt to limit <br />
script execution are ineffective, and that 99.34% of hosts <br />
with CSP use policies that offer no benefit against XSS. <br />
Finally, we propose the ’strict-dynamic’ keyword, an <br />
addition to the specification that facilitates the creation of <br />
policies based on cryptographic nonces, without relying on <br />
domain whitelists. We discuss our experience deploying such <br />
a nonce-based policy in a complex application and provide <br />
guidance to web authors for improving their policies.<br />
<br />
----<br />
<br />
'''Christian Schneider. Java Deserialization Attacks: Angriff & Verteidigung'''<br />
<br />
''Abstract:'' Dieser Talk gibt einen fundierten Überblick über den aktuellen Stand zum Thema Angriffe auf Java Deserialisierung: Nach einer kurzen Analyse des Grundproblems hinter der Verwundbarkeit am Beispiel realer Gadgets lernen Sie die mittlerweile verfügbaren Exploitation-Werkzeuge zur Ausnutzung von Deserialization-Endpoints kennen. Weiterhin werden wertvolle Tipps zum Auffinden von Gadgets und Endpoints mittels statischer Analyse (SAST) sowie dynamisch bei Pentests (DAST) vermittelt. <br />
<br />
Der defensive Part des Talks widmet sich den Möglichkeiten zur Absicherung: Am Beispiel von Bypässen bestimmter Härtungsmaßnahmen werden deren Wirkungsgrade analysiert. Abschließend zeige ich, dass das Thema Java Deserialisierung nicht nur Java direkt betrifft, sondern auch auf der JVM verfügbare andere Sprachen. <br />
<br />
----<br />
<br />
'''Patrick Spiegel. NoSQL Injection revisited'''<br />
<br />
''Abstract:'' In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges, but do they provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “<br />
This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases – MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kinds of requests can be crafted that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
===[https://www.regonline.com/owaspgermanday2016 !!! Die Registrierung ist eröffnet !!!]===<br />
<br />
Da wir auch dieses Jahr eine beschränkte Teilnehmerzahl von 150 haben, ist es ratsam, sich umgehend anzumelden. <br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=222611German OWASP Day 20162016-10-23T21:12:34Z<p>Martinj: /* Talks und Abstracts */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
===[https://www.regonline.com/owaspgermanday2016 Die Registrierung ist eröffnet!]===<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security''' (genauer Titel t.b.a.) <br> ''Tobias Millauer (Daimler)'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''T.B.A.'''<br> ''T.B.A.''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
T.B.A. <br />
<!-- * Björn Kimminich: [[Media:Juice Shop An intentionally insecure Javascript Web Application - Björn Kimminich.pdf|Hacking the Juice Shop "So ein Saftladen!"]]<br />
* Christian Mainka, Vladislav Mladenov and Tim Guenther: [[Media:EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On - Vladislav Mladenov+Tim Guenther.pdf|EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On]]<br />
* Ralf Reinhardt: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex auf Deutsch]]<br />
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker --><br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr''<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel''<br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br />
<br />
''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.<br />
<br />
In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.<br />
<br />
----<br />
<br />
'''Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle'''<br />
<br />
''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren. <br />
<br />
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures. <br />
<br />
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.<br />
<br />
----<br />
<br />
'''Matthias Rohr: Sicherheit agil Testen'''<br />
<br />
''Abstract:'' Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden. <br />
<br />
Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints. <br />
<br />
In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen.<br />
Andreas Falk. Sicher in die Cloud mit Angular 2 und Spring Boot<br />
Abstract: Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt.<br />
Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht.<br />
Doch wie steht es um die Sicherheit derartiger Anwendungen?<br />
Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen.<br />
Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend.<br />
Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.<br />
<br />
---- <br />
<br />
'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br />
<br />
''Abstract:'' Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten. <br />
<br />
Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden. <br />
<br />
In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben. <br />
<br />
----<br />
<br />
'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br />
<br />
''Abstract:'' Content Security Policy is a web platform mechanism designed <br />
to mitigate cross-site scripting (XSS), the top security <br />
vulnerability in modern web applications [24]. In this talk, <br />
we take a closer look at the practical benefits of adopting <br />
CSP and identify significant flaws in real-world deployments <br />
that result in bypasses in 94.72% of all distinct policies. <br />
We base our Internet-wide analysis on a search engine corpus <br />
of approximately 100 billion pages from over 1 billion <br />
hostnames; the result covers CSP deployments on 1,680,867 <br />
hosts with 26,011 unique CSP policies – the most comprehensive <br />
study to date. We introduce the security-relevant <br />
aspects of the CSP specification and provide an in-depth <br />
analysis of its threat model, focusing on XSS protections. <br />
We identify three common classes of CSP bypasses and explain <br />
how they subvert the security of a policy. <br />
We then turn to a quantitative analysis of policies deployed <br />
on the Internet in order to understand their security <br />
benefits. We observe that 14 out of the 15 domains <br />
most commonly whitelisted for loading scripts contain unsafe <br />
endpoints; as a consequence, 75.81% of distinct policies <br />
use script whitelists that allow attackers to bypass CSP. In <br />
total, we find that 94.68% of policies that attempt to limit <br />
script execution are ineffective, and that 99.34% of hosts <br />
with CSP use policies that offer no benefit against XSS. <br />
Finally, we propose the ’strict-dynamic’ keyword, an <br />
addition to the specification that facilitates the creation of <br />
policies based on cryptographic nonces, without relying on <br />
domain whitelists. We discuss our experience deploying such <br />
a nonce-based policy in a complex application and provide <br />
guidance to web authors for improving their policies.<br />
<br />
----<br />
<br />
'''Christian Schneider. Java Deserialization Attacks: Angriff & Verteidigung'''<br />
<br />
''Abstract:'' Dieser Talk gibt einen fundierten Überblick über den aktuellen Stand zum Thema Angriffe auf Java Deserialisierung: Nach einer kurzen Analyse des Grundproblems hinter der Verwundbarkeit am Beispiel realer Gadgets lernen Sie die mittlerweile verfügbaren Exploitation-Werkzeuge zur Ausnutzung von Deserialization-Endpoints kennen. Weiterhin werden wertvolle Tipps zum Auffinden von Gadgets und Endpoints mittels statischer Analyse (SAST) sowie dynamisch bei Pentests (DAST) vermittelt. <br />
<br />
Der defensive Part des Talks widmet sich den Möglichkeiten zur Absicherung: Am Beispiel von Bypässen bestimmter Härtungsmaßnahmen werden deren Wirkungsgrade analysiert. Abschließend zeige ich, dass das Thema Java Deserialisierung nicht nur Java direkt betrifft, sondern auch auf der JVM verfügbare andere Sprachen. <br />
<br />
----<br />
<br />
'''Patrick Spiegel. NoSQL Injection revisited'''<br />
<br />
''Abstract:'' In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges, but do they provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “<br />
This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases – MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kinds of requests can be crafted that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.<br />
<br />
<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
<!-- <br />
== Programm mit Präsentationen zum Download ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2016''' &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Raum: '''...'''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>'' ... ''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | <br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
|-<br />
|}<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
===[https://www.regonline.com/owaspgermanday2016 !!! Die Registrierung ist eröffnet !!!]===<br />
<br />
Da wir auch dieses Jahr eine beschränkte Teilnehmerzahl von 150 haben, ist es ratsam, sich umgehend anzumelden. <br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=222610German OWASP Day 20162016-10-23T21:11:52Z<p>Martinj: /* Talks und Abstracts */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
===[https://www.regonline.com/owaspgermanday2016 Die Registrierung ist eröffnet!]===<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security''' (genauer Titel t.b.a.) <br> ''Tobias Millauer (Daimler)'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''T.B.A.'''<br> ''T.B.A.''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
T.B.A. <br />
<!-- * Björn Kimminich: [[Media:Juice Shop An intentionally insecure Javascript Web Application - Björn Kimminich.pdf|Hacking the Juice Shop "So ein Saftladen!"]]<br />
* Christian Mainka, Vladislav Mladenov and Tim Guenther: [[Media:EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On - Vladislav Mladenov+Tim Guenther.pdf|EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On]]<br />
* Ralf Reinhardt: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex auf Deutsch]]<br />
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker --><br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr''<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel''<br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br />
<br />
''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.<br />
<br />
In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.<br />
<br />
----<br />
<br />
'''Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle'''<br />
<br />
''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren. <br />
<br />
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures. <br />
<br />
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.<br />
<br />
----<br />
<br />
'''Matthias Rohr: Sicherheit agil Testen'''<br />
<br />
''Abstract:'' Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden. <br />
<br />
Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints. <br />
<br />
In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen.<br />
Andreas Falk. Sicher in die Cloud mit Angular 2 und Spring Boot<br />
Abstract: Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt.<br />
Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht.<br />
Doch wie steht es um die Sicherheit derartiger Anwendungen?<br />
Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen.<br />
Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend.<br />
Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.<br />
<br />
---- <br />
<br />
'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br />
<br />
''Abstract:'' Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten. <br />
<br />
Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden. <br />
<br />
In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben. <br />
<br />
----<br />
<br />
'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br />
<br />
''Abstract:'' Content Security Policy is a web platform mechanism designed <br />
to mitigate cross-site scripting (XSS), the top security <br />
vulnerability in modern web applications [24]. In this talk, <br />
we take a closer look at the practical benefits of adopting <br />
CSP and identify significant flaws in real-world deployments <br />
that result in bypasses in 94.72% of all distinct policies. <br />
We base our Internet-wide analysis on a search engine corpus <br />
of approximately 100 billion pages from over 1 billion <br />
hostnames; the result covers CSP deployments on 1,680,867 <br />
hosts with 26,011 unique CSP policies – the most comprehensive <br />
study to date. We introduce the security-relevant <br />
aspects of the CSP specification and provide an in-depth <br />
analysis of its threat model, focusing on XSS protections. <br />
We identify three common classes of CSP bypasses and explain <br />
how they subvert the security of a policy. <br />
We then turn to a quantitative analysis of policies deployed <br />
on the Internet in order to understand their security <br />
benefits. We observe that 14 out of the 15 domains <br />
most commonly whitelisted for loading scripts contain unsafe <br />
endpoints; as a consequence, 75.81% of distinct policies <br />
use script whitelists that allow attackers to bypass CSP. In <br />
total, we find that 94.68% of policies that attempt to limit <br />
script execution are ineffective, and that 99.34% of hosts <br />
with CSP use policies that offer no benefit against XSS. <br />
Finally, we propose the ’strict-dynamic’ keyword, an <br />
addition to the specification that facilitates the creation of <br />
policies based on cryptographic nonces, without relying on <br />
domain whitelists. We discuss our experience deploying such <br />
a nonce-based policy in a complex application and provide <br />
guidance to web authors for improving their policies.<br />
<br />
<br />
----<br />
<br />
'''Christian Schneider. Java Deserialization Attacks: Angriff & Verteidigung'''<br />
<br />
''Abstract:'' Dieser Talk gibt einen fundierten Überblick über den aktuellen Stand zum Thema Angriffe auf Java Deserialisierung: Nach einer kurzen Analyse des Grundproblems hinter der Verwundbarkeit am Beispiel realer Gadgets lernen Sie die mittlerweile verfügbaren Exploitation-Werkzeuge zur Ausnutzung von Deserialization-Endpoints kennen. Weiterhin werden wertvolle Tipps zum Auffinden von Gadgets und Endpoints mittels statischer Analyse (SAST) sowie dynamisch bei Pentests (DAST) vermittelt. <br />
<br />
Der defensive Part des Talks widmet sich den Möglichkeiten zur Absicherung: Am Beispiel von Bypässen bestimmter Härtungsmaßnahmen werden deren Wirkungsgrade analysiert. Abschließend zeige ich, dass das Thema Java Deserialisierung nicht nur Java direkt betrifft, sondern auch auf der JVM verfügbare andere Sprachen. <br />
<br />
----<br />
<br />
'''Patrick Spiegel. NoSQL Injection revisited'''<br />
<br />
''Abstract:'' In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges, but do they provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “<br />
This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases – MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kinds of requests can be crafted that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.<br />
<br />
<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
<!-- <br />
== Programm mit Präsentationen zum Download ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2016''' &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Raum: '''...'''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>'' ... ''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | <br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
|-<br />
|}<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
===[https://www.regonline.com/owaspgermanday2016 !!! Die Registrierung ist eröffnet !!!]===<br />
<br />
Da wir auch dieses Jahr eine beschränkte Teilnehmerzahl von 150 haben, ist es ratsam, sich umgehend anzumelden. <br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=222609German OWASP Day 20162016-10-23T21:08:42Z<p>Martinj: /* Talks und Abstracts */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
===[https://www.regonline.com/owaspgermanday2016 Die Registrierung ist eröffnet!]===<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security''' (genauer Titel t.b.a.) <br> ''Tobias Millauer (Daimler)'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''T.B.A.'''<br> ''T.B.A.''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
T.B.A. <br />
<!-- * Björn Kimminich: [[Media:Juice Shop An intentionally insecure Javascript Web Application - Björn Kimminich.pdf|Hacking the Juice Shop "So ein Saftladen!"]]<br />
* Christian Mainka, Vladislav Mladenov and Tim Guenther: [[Media:EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On - Vladislav Mladenov+Tim Guenther.pdf|EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On]]<br />
* Ralf Reinhardt: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex auf Deutsch]]<br />
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker --><br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr''<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel''<br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br />
<br />
''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.<br />
<br />
In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.<br />
<br />
----<br />
<br />
'''Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle'''<br />
<br />
''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren. <br />
<br />
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures. <br />
<br />
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.<br />
<br />
----<br />
<br />
'''Matthias Rohr: Sicherheit agil Testen'''<br />
<br />
''Abstract:'' Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden. <br />
<br />
Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints. <br />
<br />
In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen.<br />
Andreas Falk. Sicher in die Cloud mit Angular 2 und Spring Boot<br />
Abstract: Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt.<br />
Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht.<br />
Doch wie steht es um die Sicherheit derartiger Anwendungen?<br />
Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen.<br />
Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend.<br />
Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.<br />
<br />
---- <br />
<br />
'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br />
<br />
''Abstract:'' Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten. <br />
<br />
Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden. <br />
<br />
In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben. <br />
<br />
----<br />
<br />
'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br />
<br />
''Abstract:'' Content Security Policy is a web platform mechanism designed <br />
to mitigate cross-site scripting (XSS), the top security <br />
vulnerability in modern web applications [24]. In this talk, <br />
we take a closer look at the practical benefits of adopting <br />
CSP and identify significant flaws in real-world deployments <br />
that result in bypasses in 94.72% of all distinct policies. <br />
We base our Internet-wide analysis on a search engine corpus <br />
of approximately 100 billion pages from over 1 billion <br />
hostnames; the result covers CSP deployments on 1,680,867 <br />
hosts with 26,011 unique CSP policies – the most comprehensive <br />
study to date. We introduce the security-relevant <br />
aspects of the CSP specification and provide an in-depth <br />
analysis of its threat model, focusing on XSS protections. <br />
We identify three common classes of CSP bypasses and explain <br />
how they subvert the security of a policy. <br />
We then turn to a quantitative analysis of policies deployed <br />
on the Internet in order to understand their security <br />
benefits. We observe that 14 out of the 15 domains <br />
most commonly whitelisted for loading scripts contain unsafe <br />
endpoints; as a consequence, 75.81% of distinct policies <br />
use script whitelists that allow attackers to bypass CSP. In <br />
total, we find that 94.68% of policies that attempt to limit <br />
script execution are ineffective, and that 99.34% of hosts <br />
with CSP use policies that offer no benefit against XSS. <br />
Finally, we propose the ’strict-dynamic’ keyword, an <br />
addition to the specification that facilitates the creation of <br />
policies based on cryptographic nonces, without relying on <br />
domain whitelists. We discuss our experience deploying such <br />
a nonce-based policy in a complex application and provide <br />
guidance to web authors for improving their policies.<br />
<br />
<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
<!-- <br />
== Programm mit Präsentationen zum Download ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2016''' &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Raum: '''...'''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>'' ... ''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | <br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
|-<br />
|}<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
===[https://www.regonline.com/owaspgermanday2016 !!! Die Registrierung ist eröffnet !!!]===<br />
<br />
Da wir auch dieses Jahr eine beschränkte Teilnehmerzahl von 150 haben, ist es ratsam, sich umgehend anzumelden. <br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=222608German OWASP Day 20162016-10-23T21:04:29Z<p>Martinj: /* Programm */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
===[https://www.regonline.com/owaspgermanday2016 Die Registrierung ist eröffnet!]===<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security''' (genauer Titel t.b.a.) <br> ''Tobias Millauer (Daimler)'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''T.B.A.'''<br> ''T.B.A.''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
T.B.A. <br />
<!-- * Björn Kimminich: [[Media:Juice Shop An intentionally insecure Javascript Web Application - Björn Kimminich.pdf|Hacking the Juice Shop "So ein Saftladen!"]]<br />
* Christian Mainka, Vladislav Mladenov and Tim Guenther: [[Media:EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On - Vladislav Mladenov+Tim Guenther.pdf|EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On]]<br />
* Ralf Reinhardt: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex auf Deutsch]]<br />
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker --><br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr''<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel''<br />
|-<br />
|}<br />
<br />
== Talks und Abstracts == <br />
<br />
'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br />
<br />
''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.<br />
<br />
In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.<br />
<br />
----<br />
<br />
'''Daniel Kefer and René Reuter. Security Requirements im Software Development Lifecycle'''<br />
<br />
''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren. <br />
<br />
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures. <br />
<br />
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.<br />
<br />
----<br />
<br />
<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
<!-- <br />
== Programm mit Präsentationen zum Download ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2016''' &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Raum: '''...'''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>'' ... ''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | <br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
|-<br />
|}<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
===[https://www.regonline.com/owaspgermanday2016 !!! Die Registrierung ist eröffnet !!!]===<br />
<br />
Da wir auch dieses Jahr eine beschränkte Teilnehmerzahl von 150 haben, ist es ratsam, sich umgehend anzumelden. <br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=222607German OWASP Day 20162016-10-23T20:56:00Z<p>Martinj: /* Programm */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
===[https://www.regonline.com/owaspgermanday2016 Die Registrierung ist eröffnet!]===<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote: '''CarIT Security''' (genauer Titel t.b.a.) <br> ''Tobias Millauer (Daimler)'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''T.B.A.'''<br> ''T.B.A.''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
T.B.A. <br />
<!-- * Björn Kimminich: [[Media:Juice Shop An intentionally insecure Javascript Web Application - Björn Kimminich.pdf|Hacking the Juice Shop "So ein Saftladen!"]]<br />
* Christian Mainka, Vladislav Mladenov and Tim Guenther: [[Media:EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On - Vladislav Mladenov+Tim Guenther.pdf|EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On]]<br />
* Ralf Reinhardt: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex auf Deutsch]]<br />
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker --><br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr''<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel''<br />
|-<br />
|}<br />
<br />
<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
<!-- <br />
== Programm mit Präsentationen zum Download ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2016''' &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Raum: '''...'''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>'' ... ''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | <br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
|-<br />
|}<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
===[https://www.regonline.com/owaspgermanday2016 !!! Die Registrierung ist eröffnet !!!]===<br />
<br />
Da wir auch dieses Jahr eine beschränkte Teilnehmerzahl von 150 haben, ist es ratsam, sich umgehend anzumelden. <br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=222606German OWASP Day 20162016-10-23T20:55:34Z<p>Martinj: /* Programm */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
===[https://www.regonline.com/owaspgermanday2016 Die Registrierung ist eröffnet!]===<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:'''CarIT Security''' (genauer Titel t.b.a.) <br> ''Tobias Millauer (Daimler)'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter'' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''T.B.A.'''<br> ''T.B.A.''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
T.B.A. <br />
<!-- * Björn Kimminich: [[Media:Juice Shop An intentionally insecure Javascript Web Application - Björn Kimminich.pdf|Hacking the Juice Shop "So ein Saftladen!"]]<br />
* Christian Mainka, Vladislav Mladenov and Tim Guenther: [[Media:EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On - Vladislav Mladenov+Tim Guenther.pdf|EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On]]<br />
* Ralf Reinhardt: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex auf Deutsch]]<br />
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker --><br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr''<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel''<br />
|-<br />
|}<br />
<br />
<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
<!-- <br />
== Programm mit Präsentationen zum Download ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2016''' &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Raum: '''...'''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>'' ... ''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | <br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
|-<br />
|}<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
===[https://www.regonline.com/owaspgermanday2016 !!! Die Registrierung ist eröffnet !!!]===<br />
<br />
Da wir auch dieses Jahr eine beschränkte Teilnehmerzahl von 150 haben, ist es ratsam, sich umgehend anzumelden. <br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=222605German OWASP Day 20162016-10-23T20:53:56Z<p>Martinj: </p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Europe]] [[Category:Germany]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<br />
[[Image:2016_owasp_day_w_480px.png|right|Logo German OWASP Day 2016]]<br />
<br />
__TOC__<br />
<br />
===[https://www.regonline.com/owaspgermanday2016 Die Registrierung ist eröffnet!]===<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2016 in Darmstadt statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar ([http://www.weststadt.de www.weststadt.de]) zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Der [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call for Presentations] ist geschlossen.<br />
<br />
<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]]</u>, <!-- <u>[[...|&rarr; Information in English ]]</u> -->. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>CAST e.V.</u> im neuen Gebäude des [https://www.sit.fraunhofer.de/ Fraunhofer SIT], [https://goo.gl/maps/pBuCtKnVKC12 Rheinstraße 75, 64295 Darmstadt] - ca. 700m vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in der Weststadtbar <u>[http://www.weststadt.de www.weststadt.de]</u> ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...<br />
<br />
== Programm ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2015''' <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 08:55 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Ingo Hanke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''OWASP 101'''<br>''Martin Knobloch''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:'''CarIT Security''' (genauer Titel t.b.a.) <br> ''Tobias Millauer (Daimler)'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Java Deserialization Attacks: Angriff & Verteidigung'''<br> ''Christian Schneider'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Security Requirements im Software Development Lifecycle'''<br> ''Daniel Kefer and René Reuter''<br />
<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:30 - 12:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''<br> ''Thomas Patzke''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicher in die Cloud mit Angular 2 und Spring Boot'''<br> ''Andreas Falk''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''T.B.A.'''<br> ''T.B.A.''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''NoSQL Injection revisited'''<br> ''Patrick Spiegel''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br><br />
T.B.A. <br />
<!-- * Björn Kimminich: [[Media:Juice Shop An intentionally insecure Javascript Web Application - Björn Kimminich.pdf|Hacking the Juice Shop "So ein Saftladen!"]]<br />
* Christian Mainka, Vladislav Mladenov and Tim Guenther: [[Media:EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On - Vladislav Mladenov+Tim Guenther.pdf|EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On]]<br />
* Ralf Reinhardt: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex auf Deutsch]]<br />
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker --><br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''<br> ''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Sicherheit agil Testen'''<br> ''Matthias Rohr''<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''DROWN (oder warum TLS-Konfiguration schwer ist)'''<br> ''Sebastian Schinzel''<br />
|-<br />
|}<br />
<br />
<br />
<!--<br />
== Programmvorschau ==<br />
<br />
Der German OWASP Day bietet auch dieses Jahr ein umfangreiches und umfassendes Programm zu technischen wie organisatorischen Themen der Web-Security:<br />
<br />
- Die Keynote von Tobias Millauer (Daimler AG) zum Thema CarIT Security,<br />
<br />
- insgesamt 9 spannende Vorträge, wie beispielsweise: <br />
<br />
- “DROWN (oder warum TLS-Konfiguration schwer ist)” von Sebastian Schinzel (Hochschule Münster),<br />
<br />
- “CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy” von Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies (Google),<br />
<br />
- “Java Deserialization Attacks: Angriff & Verteidigung” von Christian Schneider, <br />
<br />
- “NoSQL Injection revisited” von Patrick Spiegel (SAP SE),<br />
<br />
- und, nach dem großen Erfolg im Jahre 2015, auch dieses Jahr wieder eine Runde von spannenden und kurzweiligen Lightning Talks!<br />
<br />
--><br />
<br />
<!-- <br />
== Programm mit Präsentationen zum Download ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2016''' &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Raum: '''...'''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>'' ... ''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | <br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
|-<br />
|}<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
===[https://www.regonline.com/owaspgermanday2016 !!! Die Registrierung ist eröffnet !!!]===<br />
<br />
Da wir auch dieses Jahr eine beschränkte Teilnehmerzahl von 150 haben, ist es ratsam, sich umgehend anzumelden. <br />
<br />
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular '''unverbindlich''' mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.<br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.<br />
<br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
<br />
<br />
== Übernachtung ==<br />
Informationen zu Übernachtungsmöglichkeiten folgen Anfang Oktober.<br />
--><br />
<br />
<br />
== Organisation ==<br />
<br />
* [[User:Ingo Hanke|Ingo Hanke (Chair)]]<br />
* [[User:Bohem|Boris Hemkemeier]]<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
<!--<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<u>[https://twitter.com/#!/search/%23owasp_d2016 #owasp_d2016]</u><br />
<br />
== Social Media Response ==<br />
<u>[http://eventifier.com/event/owaspd2016/ Social Media Recap at Eventifier]</u><br />
<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016/CfP&diff=220757German OWASP Day 2016/CfP2016-08-26T10:28:45Z<p>Martinj: </p>
<hr />
<div><!--<br />
{{TOC left}}<br />
--><br />
<br />
== Deutscher OWASP-Tag 2016 (DE) ==<br />
<br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal! Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29.11.2016 in Darmstadt statt.<br />
<br />
=== Call For Presentations ===<br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch, Vorträge in Englisch sind auch willkommen. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. <br />
OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketing.<br />
<br />
Herstellern und Dienstleistern bieten wir im Rahmen des Sponsorings eine geeignete Marketingplattform.<br />
<br />
=== Fachliches ===<br />
Für Vortragsvorschläge bitten wir um eine Kurzzusammenfassung und -- sofern vorhanden --um eine Vorabversion des Vortrags. Die Zusammenfassung sollte nicht weniger als 500 (maximal: 4000) Zeichen lang sein. (Bitte auf Orthographie achten, da die Zusammenfassung so, wie sie ist, ggf. im Programm erscheint). Die gilt ebenso für die obligatorische Kurzbiographie (150-800 Zeichen). Die Präsentationen werden voraussichtlich 20 oder 40 Minuten dauern, plus 5 Minuten Diskussion.<br />
<br />
Erwünscht sind alle Themen mit Bezug zu (Web)-Applikationssicherheit und OWASP, insbesondere:<br />
<br />
* Praxisrelevante technische Vorträge <br />
* Neue Forschungsergebnisse <br />
* Mobile Security<br />
* Sichere Webanwendungen in der Cloud<br />
* Browsersicherheit<br />
* Sicherheit bei Web Services (REST, XML)<br />
* Secure Development Lifecycle<br />
* Datenschutz in Webapplikationen<br />
* Security-Programme für Entwickler, Tester, Architekten und Projektleiter<br />
* Security Management für Webanwendungen<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Statische Code Analyse<br />
* Neues zu OWASP-Projekten <br />
<br />
Wir bieten einen Track an. Folien der Vorträge werden unter der freien OWASP-Lizenz auf der Konferenzwebseite veröffentlicht. Daher muss spätestens bei Annahme des Beitrags durch das Programmkomitee das <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> ohne Änderung akzeptiert und unterschrieben werden. Das Speaker Agreement sieht vor, dass die Standardfoliensätze von OWASP verwendet werden (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Kosten (für Reise und Unterkunft) können wir leider nicht übernehmen.<br />
<br />
'''Alle Teilnehmer sowie Vortragende sind herzlich zur Abendveranstaltung am 28. November eingeladen (Details werden noch bekannt gegeben).'''<br />
<br />
=== Programmkomitee ===<br />
<br />
* Ben Stock (CISPA, Uni Saarland)<br />
* Alexios Fakos (Airbus Defence and Space)<br />
* Ingo Hanke (IDEAS, Conference Chair)<br />
* Mario Heiderich (Cure53)<br />
* Boris Hemkemeier (Commerzbank)<br />
* Martin Johns (SAP, PC Chair)<br />
* Sebastian Lekies (Google)<br />
* Sebastian Schinzel (Hochschule Münster)<br />
* Henrik Willert (1&1)<br />
* Jan Wolff (Bosch)<br />
* Bastian Braun (mgm security partners)<br />
<br />
=== Termine / Einreichung ===<br />
<br />
Einreichungen ausschließlich online bis zum '''01. Oktober 2016''' über https://easychair.org/conferences/?conf=owaspger16<br />
<br />
* Bitte geben Sie alle vortragsrelevanten Informationen an (siehe Call for Presentations oben):<br />
** Abstract<br />
** Bio<br />
** Länge<br />
** ggf. Foliensätze<br />
<br />
* Fristen/Termine<br />
** CfP schließt: 01.10.2016<br />
** Benachrichtigung der Einreicher: 07.10.2016<br />
** Konferenz: 29.11.2016<br />
<br />
<br/><br />
<br />
== German OWASP Day 2016 (EN) ==<br />
<br />
The German Chapter of the Open Web Application Security Project (OWASP) is organizing their German OWASP Conference. This German OWASP Day is the most important, independent and non-commercial conference in Germany related to application security. <br />
<br />
The conference will take place in Darmstadt on the 29th of November 2016.<br />
<br />
=== Call For Presentations ===<br />
<br />
The conference is aiming at German folks, correspondingly the conference language is German but English presentations are welcome as well. The German OWASP Day is a true security conference, with expected talks and presentations on secure software development, usage, test and management, all around web based applications. Non-technical talks are welcome as well. Please refrain from submitting marketing pitches. Sponsors will have a separate possibilities for marketing.<br />
<br />
=== CfP in detail ===<br />
<br />
To submit a proposal, please submit <u>[https://easychair.org/conferences/?conf=owaspger15 online]</u> an abstract of the presentation (500 to 4000 characters) and a brief biography (150 to 800 characters). The planned presentation time is 20 or 40 minutes (excl. 5 minutes for discussion). You can also attach a preliminary version of your presentation. (Please watch out for mistakes as we'll take your abstract and publish it 1:1 together in our program).<br />
<br />
We are interested in all topics related to (Web) Application Security and OWASP, in particular:<br />
<br />
* Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.<br />
* Research topics in web security <br />
* Frameworks and best practices for secure development<br />
* Mobile Security<br />
* Cloud Security, specifically secure Cloud Apps<br />
* Browser Security<br />
* Security in Web Applications and Web Services (REST, XML)<br />
* Secure Development Lifecycle<br />
* Privacy protection in web based apps<br />
* Security programs for developers, testers, architects and project owners<br />
* Security management for application<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Static Code Analysis<br />
* Updates to OWASP Projects<br />
<br />
We will offer either one track. All presentations will be published on the conference website under the OWASP license. Therefore all speakers must accept and sign the <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> without changes prior to the conference. It requires that you use one of the following templates: (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Unfortunately we can't cover any travel expenses or costs for accommodation.<br />
<br />
'''Participants and speakers are all warmly invited to attend the evening program on November 28th (details to be announced).'''<br />
<br />
<br />
=== Program Committee ===<br />
<br />
* Ben Stock (CISPA, Uni Saarland)<br />
* Alexios Fakos (Airbus Defence and Space)<br />
* Ingo Hanke (IDEAS, Conference Chair)<br />
* Mario Heiderich (Cure53)<br />
* Boris Hemkemeier (Commerzbank)<br />
* Martin Johns (SAP, PC Chair)<br />
* Sebastian Lekies (Google)<br />
* Sebastian Schinzel (Hochschule Münster)<br />
* Henrik Willert (1&1)<br />
* Jan Wolff (Bosch)<br />
* Bastian Braun (mgm security partners)<br />
<br />
=== Deadlines ===<br />
<br />
Submissions no later than October 9th, 2015 only online via https://easychair.org/conferences/?conf=owaspger16<br />
<br />
* Please read and follow the requirements above: <br />
** Abstract<br />
** bio<br />
** length <br />
** and if possible slides<br />
<br />
* Dates:<br />
** CfP closes: '''October 1st, 2016'''<br />
** Notification of acceptance by October 7th, 2016 <br />
** Conference: November 29th, 2016<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2015]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2015/CfP <top>] [[German_OWASP_Day_2015|<zurück>]] [[Germany|<Germany>]]<br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]] [[Category:CfP]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016/CfP&diff=220756German OWASP Day 2016/CfP2016-08-26T10:27:55Z<p>Martinj: </p>
<hr />
<div><!--<br />
{{TOC left}}<br />
--><br />
<br />
== Deutscher OWASP-Tag 2016 (DE) ==<br />
<br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal! Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29.11.2016 in Darmstadt statt.<br />
<br />
=== Call For Presentations ===<br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch, Vorträge in Englisch sind auch willkommen. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. <br />
OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketing.<br />
<br />
Herstellern und Dienstleistern bieten wir im Rahmen des Sponsorings eine geeignete Marketingplattform.<br />
<br />
=== Fachliches ===<br />
Für Vortragsvorschläge bitten wir um eine Kurzzusammenfassung und -- sofern vorhanden --um eine Vorabversion des Vortrags. Die Zusammenfassung sollte nicht weniger als 500 (maximal: 4000) Zeichen lang sein. (Bitte auf Orthographie achten, da die Zusammenfassung so, wie sie ist, ggf. im Programm erscheint). Die gilt ebenso für die obligatorische Kurzbiographie (150-800 Zeichen). Die Präsentationen werden voraussichtlich 20 oder 40 Minuten dauern, plus 5 Minuten Diskussion.<br />
<br />
Erwünscht sind alle Themen mit Bezug zu (Web)-Applikationssicherheit und OWASP, insbesondere:<br />
<br />
* Praxisrelevante technische Vorträge <br />
* Neue Forschungsergebnisse <br />
* Mobile Security<br />
* Sichere Webanwendungen in der Cloud<br />
* Browsersicherheit<br />
* Sicherheit bei Web Services (REST, XML)<br />
* Secure Development Lifecycle<br />
* Datenschutz in Webapplikationen<br />
* Security-Programme für Entwickler, Tester, Architekten und Projektleiter<br />
* Security Management für Webanwendungen<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Statische Code Analyse<br />
* Neues zu OWASP-Projekten <br />
<br />
Wir bieten einen Track an. Folien der Vorträge werden unter der freien OWASP-Lizenz auf der Konferenzwebseite veröffentlicht. Daher muss spätestens bei Annahme des Beitrags durch das Programmkomitee das <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> ohne Änderung akzeptiert und unterschrieben werden. Das Speaker Agreement sieht vor, dass die Standardfoliensätze von OWASP verwendet werden (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Kosten (für Reise und Unterkunft) können wir leider nicht übernehmen.<br />
<br />
'''Alle Teilnehmer sowie Vortragende sind herzlich zur Abendveranstaltung am 28. November eingeladen (Details werden noch bekannt gegeben).'''<br />
<br />
=== Programmkomitee ===<br />
<br />
* Ben Stock (CISPA, Uni Saarland)<br />
* Alexios Fakos (Airbus Defence and Space)<br />
* Ingo Hanke (IDEAS, Conference Chair)<br />
* Mario Heiderich (Cure53)<br />
* Boris Hemkemeier (Commerzbank)<br />
* Martin Johns (SAP, PC Chair)<br />
* Sebastian Lekies (Google)<br />
* Sebastian Schinzel (Hochschule Münster)<br />
* Henrik Willert (1&1)<br />
* Jan Wolff (Bosch)<br />
* Bastian Braun (mgm security partners)<br />
<br />
=== Termine / Einreichung ===<br />
<br />
Einreichungen ausschließlich online bis zum '''01. Oktober 2016''' über https://easychair.org/conferences/?conf=owaspger16<br />
<br />
* Bitte geben Sie alle vortragsrelevanten Informationen an (siehe Call for Presentations oben):<br />
** Abstract<br />
** Bio<br />
** Länge<br />
** ggf. Foliensätze<br />
<br />
* Fristen/Termine<br />
** CfP schließt: 01.10.2016<br />
** Benachrichtigung der Einreicher: 07.10.2016<br />
** Konferenz: 29.11.2016<br />
<br />
<br/><br />
<br />
== German OWASP Day 2016 (EN) ==<br />
<br />
The German Chapter of the Open Web Application Security Project (OWASP) is organizing their German OWASP Conference. This German OWASP Day is the most important, independent and non-commercial conference in Germany related to application security. <br />
<br />
The conference will take place in Darmstadt on the 29th of November 2016.<br />
<br />
=== Call For Presentations ===<br />
<br />
The conference is aiming at German folks, correspondingly the conference language is German but English presentations are welcome as well. The German OWASP Day is a true security conference, with expected talks and presentations on secure software development, usage, test and management, all around web based applications. Non-technical talks are welcome as well. Please refrain from submitting marketing pitches. Sponsors will have a separate possibilities for marketing.<br />
<br />
=== CfP in detail ===<br />
<br />
To submit a proposal, please submit <u>[https://easychair.org/conferences/?conf=owaspger15 online]</u> an abstract of the presentation (500 to 4000 characters) and a brief biography (150 to 800 characters). The planned presentation time is 20 or 40 minutes (excl. 5 minutes for discussion). You can also attach a preliminary version of your presentation. (Please watch out for mistakes as we'll take your abstract and publish it 1:1 together in our program).<br />
<br />
We are interested in all topics related to (Web) Application Security and OWASP, in particular:<br />
<br />
* Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.<br />
* Research topics in web security <br />
* Frameworks and best practices for secure development<br />
* Mobile Security<br />
* Cloud Security, specifically secure Cloud Apps<br />
* Browser Security<br />
* Security in Web Applications and Web Services (REST, XML)<br />
* Secure Development Lifecycle<br />
* Privacy protection in web based apps<br />
* Security programs for developers, testers, architects and project owners<br />
* Security management for application<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Static Code Analysis<br />
* Updates to OWASP Projects<br />
<br />
We will offer either one track. All presentations will be published on the conference website under the OWASP license. Therefore all speakers must accept and sign the <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> without changes prior to the conference. It requires that you use one of the following templates: (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Unfortunately we can't cover any travel expenses or costs for accommodation.<br />
<br />
'''Participants and speakers are all warmly invited to attend the evening program on November 28th (details to be announced).'''<br />
<br />
<br />
=== Program Committee ===<br />
<br />
* Ben Stock (CISPA, Uni Saarland)<br />
* Alexios Fakos (PWC)<br />
* Ingo Hanke (IDEAS, Conference Chair)<br />
* Mario Heiderich (Cure53)<br />
* Boris Hemkemeier (Commerzbank)<br />
* Martin Johns (SAP, PC Chair)<br />
* Sebastian Lekies (Google)<br />
* Sebastian Schinzel (Hochschule Münster)<br />
* Henrik Willert (1&1)<br />
* Jan Wolff (Bosch)<br />
<br />
=== Deadlines ===<br />
<br />
Submissions no later than October 9th, 2015 only online via https://easychair.org/conferences/?conf=owaspger16<br />
<br />
* Please read and follow the requirements above: <br />
** Abstract<br />
** bio<br />
** length <br />
** and if possible slides<br />
<br />
* Dates:<br />
** CfP closes: '''October 1st, 2016'''<br />
** Notification of acceptance by October 7th, 2016 <br />
** Conference: November 29th, 2016<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2015]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2015/CfP <top>] [[German_OWASP_Day_2015|<zurück>]] [[Germany|<Germany>]]<br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]] [[Category:CfP]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016/CfP&diff=219583German OWASP Day 2016/CfP2016-07-29T15:53:28Z<p>Martinj: </p>
<hr />
<div><!--<br />
{{TOC left}}<br />
--><br />
<br />
== Deutscher OWASP-Tag 2016 (DE) ==<br />
<br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal! Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29.11.2016 in Darmstadt statt.<br />
<br />
=== Call For Presentations ===<br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch, Vorträge in Englisch sind auch willkommen. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. <br />
OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketing.<br />
<br />
Herstellern und Dienstleistern bieten wir im Rahmen des Sponsorings eine geeignete Marketingplattform.<br />
<br />
=== Fachliches ===<br />
Für Vortragsvorschläge bitten wir um eine Kurzzusammenfassung und -- sofern vorhanden --um eine Vorabversion des Vortrags. Die Zusammenfassung sollte nicht weniger als 500 (maximal: 4000) Zeichen lang sein. (Bitte auf Orthographie achten, da die Zusammenfassung so, wie sie ist, ggf. im Programm erscheint). Die gilt ebenso für die obligatorische Kurzbiographie (150-800 Zeichen). Die Präsentationen werden voraussichtlich 20 oder 40 Minuten dauern, plus 5 Minuten Diskussion.<br />
<br />
Erwünscht sind alle Themen mit Bezug zu (Web)-Applikationssicherheit und OWASP, insbesondere:<br />
<br />
* Praxisrelevante technische Vorträge <br />
* Neue Forschungsergebnisse <br />
* Mobile Security<br />
* Sichere Webanwendungen in der Cloud<br />
* Browsersicherheit<br />
* Sicherheit bei Web Services (REST, XML)<br />
* Secure Development Lifecycle<br />
* Datenschutz in Webapplikationen<br />
* Security-Programme für Entwickler, Tester, Architekten und Projektleiter<br />
* Security Management für Webanwendungen<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Statische Code Analyse<br />
* Neues zu OWASP-Projekten <br />
<br />
Wir bieten einen Track an. Folien der Vorträge werden unter der freien OWASP-Lizenz auf der Konferenzwebseite veröffentlicht. Daher muss spätestens bei Annahme des Beitrags durch das Programmkomitee das <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> ohne Änderung akzeptiert und unterschrieben werden. Das Speaker Agreement sieht vor, dass die Standardfoliensätze von OWASP verwendet werden (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Kosten (für Reise und Unterkunft) können wir leider nicht übernehmen.<br />
<br />
'''Alle Teilnehmer sowie Vortragende sind herzlich zur Abendveranstaltung am 28. November eingeladen (Details werden noch bekannt gegeben).'''<br />
<br />
=== Programmkomitee ===<br />
<br />
* Ben Stock (CISPA, Uni Saarland)<br />
* Alexios Fakos (PWC)<br />
* Ingo Hanke (IDEAS, Conference Chair)<br />
* Mario Heiderich (Cure53)<br />
* Boris Hemkemeier (Commerzbank)<br />
* Martin Johns (SAP, PC Chair)<br />
* Sebastian Lekies (Google)<br />
* Sebastian Schinzel (Hochschule Münster)<br />
* Henrik Willert (1&1)<br />
* Jan Wolff (Bosch)<br />
<br />
=== Termine / Einreichung ===<br />
<br />
Einreichungen ausschließlich online bis zum '''01. Oktober 2016''' über https://easychair.org/conferences/?conf=owaspger16<br />
<br />
* Bitte geben Sie alle vortragsrelevanten Informationen an (siehe Call for Presentations oben):<br />
** Abstract<br />
** Bio<br />
** Länge<br />
** ggf. Foliensätze<br />
<br />
* Fristen/Termine<br />
** CfP schließt: 01.10.2016<br />
** Benachrichtigung der Einreicher: 07.10.2016<br />
** Konferenz: 29.11.2016<br />
<br />
<br/><br />
<br />
== German OWASP Day 2016 (EN) ==<br />
<br />
The German Chapter of the Open Web Application Security Project (OWASP) is organizing their German OWASP Conference. This German OWASP Day is the most important, independent and non-commercial conference in Germany related to application security. <br />
<br />
The conference will take place in Darmstadt on the 29th of November 2016.<br />
<br />
=== Call For Presentations ===<br />
<br />
The conference is aiming at German folks, correspondingly the conference language is German but English presentations are welcome as well. The German OWASP Day is a true security conference, with expected talks and presentations on secure software development, usage, test and management, all around web based applications. Non-technical talks are welcome as well. Please refrain from submitting marketing pitches. Sponsors will have a separate possibilities for marketing.<br />
<br />
=== CfP in detail ===<br />
<br />
To submit a proposal, please submit <u>[https://easychair.org/conferences/?conf=owaspger15 online]</u> an abstract of the presentation (500 to 4000 characters) and a brief biography (150 to 800 characters). The planned presentation time is 20 or 40 minutes (excl. 5 minutes for discussion). You can also attach a preliminary version of your presentation. (Please watch out for mistakes as we'll take your abstract and publish it 1:1 together in our program).<br />
<br />
We are interested in all topics related to (Web) Application Security and OWASP, in particular:<br />
<br />
* Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.<br />
* Research topics in web security <br />
* Frameworks and best practices for secure development<br />
* Mobile Security<br />
* Cloud Security, specifically secure Cloud Apps<br />
* Browser Security<br />
* Security in Web Applications and Web Services (REST, XML)<br />
* Secure Development Lifecycle<br />
* Privacy protection in web based apps<br />
* Security programs for developers, testers, architects and project owners<br />
* Security management for application<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Static Code Analysis<br />
* Updates to OWASP Projects<br />
<br />
We will offer either one track. All presentations will be published on the conference website under the OWASP license. Therefore all speakers must accept and sign the <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> without changes prior to the conference. It requires that you use one of the following templates: (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Unfortunately we can't cover any travel expenses or costs for accommodation.<br />
<br />
'''Participants and speakers are all warmly invited to attend the evening program on November 28th (details to be announced).'''<br />
<br />
<br />
=== Program Committee ===<br />
<br />
* Ben Stock (CISPA, Uni Saarland)<br />
* Alexios Fakos (PWC)<br />
* Ingo Hanke (IDEAS, Conference Chair)<br />
* Mario Heiderich (Cure53)<br />
* Boris Hemkemeier (Commerzbank)<br />
* Martin Johns (SAP, PC Chair)<br />
* Sebastian Lekies (Google)<br />
* Sebastian Schinzel (Hochschule Münster)<br />
* Henrik Willert (1&1)<br />
* Jan Wolff (Bosch)<br />
<br />
=== Deadlines ===<br />
<br />
Submissions no later than October 9th, 2015 only online via https://easychair.org/conferences/?conf=owaspger16<br />
<br />
* Please read and follow the requirements above: <br />
** Abstract<br />
** bio<br />
** length <br />
** and if possible slides<br />
<br />
* Dates:<br />
** CfP closes: '''October 1st, 2016'''<br />
** Notification of acceptance by October 7th, 2016 <br />
** Conference: November 29th, 2016<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2015]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2015/CfP <top>] [[German_OWASP_Day_2015|<zurück>]] [[Germany|<Germany>]]<br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]] [[Category:CfP]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016/CfP&diff=219582German OWASP Day 2016/CfP2016-07-29T15:53:11Z<p>Martinj: </p>
<hr />
<div><!--<br />
{{TOC left}}<br />
--><br />
<br />
== Deutscher OWASP-Tag 2016 (DE) ==<br />
<br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal! Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29.11.2016 in Darmstadt statt.<br />
<br />
=== Call For Presentations ===<br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch, Vorträge in Englisch sind auch willkommen. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. <br />
OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketing.<br />
<br />
Herstellern und Dienstleistern bieten wir im Rahmen des Sponsorings eine geeignete Marketingplattform.<br />
<br />
=== Fachliches ===<br />
Für Vortragsvorschläge bitten wir um eine Kurzzusammenfassung und -- sofern vorhanden --um eine Vorabversion des Vortrags. Die Zusammenfassung sollte nicht weniger als 500 (maximal: 4000) Zeichen lang sein. (Bitte auf Orthographie achten, da die Zusammenfassung so, wie sie ist, ggf. im Programm erscheint). Die gilt ebenso für die obligatorische Kurzbiographie (150-800 Zeichen). Die Präsentationen werden voraussichtlich 20 oder 40 Minuten dauern, plus 5 Minuten Diskussion.<br />
<br />
Erwünscht sind alle Themen mit Bezug zu (Web)-Applikationssicherheit und OWASP, insbesondere:<br />
<br />
* Praxisrelevante technische Vorträge <br />
* Neue Forschungsergebnisse <br />
* Mobile Security<br />
* Sichere Webanwendungen in der Cloud<br />
* Browsersicherheit<br />
* Sicherheit bei Web Services (REST, XML)<br />
* Secure Development Lifecycle<br />
* Datenschutz in Webapplikationen<br />
* Security-Programme für Entwickler, Tester, Architekten und Projektleiter<br />
* Security Management für Webanwendungen<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Statische Code Analyse<br />
* Neues zu OWASP-Projekten <br />
<br />
Wir bieten einen Track an. Folien der Vorträge werden unter der freien OWASP-Lizenz auf der Konferenzwebseite veröffentlicht. Daher muss spätestens bei Annahme des Beitrags durch das Programmkomitee das <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> ohne Änderung akzeptiert und unterschrieben werden. Das Speaker Agreement sieht vor, dass die Standardfoliensätze von OWASP verwendet werden (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Kosten (für Reise und Unterkunft) können wir leider nicht übernehmen.<br />
<br />
'''Alle Teilnehmer sowie Vortragende sind herzlich zur Abendveranstaltung am 28. November eingeladen (Details werden noch bekannt gegeben).'''<br />
<br />
=== Programmkomitee ===<br />
<br />
* Ben Stock (Uni Saarbrücken)<br />
* Alexios Fakos (PWC)<br />
* Ingo Hanke (IDEAS, Conference Chair)<br />
* Mario Heiderich (Cure53)<br />
* Boris Hemkemeier (Commerzbank)<br />
* Martin Johns (SAP, PC Chair)<br />
* Sebastian Lekies (Google)<br />
* Sebastian Schinzel (Hochschule Münster)<br />
* Henrik Willert (1&1)<br />
* Jan Wolff (Bosch)<br />
<br />
=== Termine / Einreichung ===<br />
<br />
Einreichungen ausschließlich online bis zum '''01. Oktober 2016''' über https://easychair.org/conferences/?conf=owaspger16<br />
<br />
* Bitte geben Sie alle vortragsrelevanten Informationen an (siehe Call for Presentations oben):<br />
** Abstract<br />
** Bio<br />
** Länge<br />
** ggf. Foliensätze<br />
<br />
* Fristen/Termine<br />
** CfP schließt: 01.10.2016<br />
** Benachrichtigung der Einreicher: 07.10.2016<br />
** Konferenz: 29.11.2016<br />
<br />
<br/><br />
<br />
== German OWASP Day 2016 (EN) ==<br />
<br />
The German Chapter of the Open Web Application Security Project (OWASP) is organizing their German OWASP Conference. This German OWASP Day is the most important, independent and non-commercial conference in Germany related to application security. <br />
<br />
The conference will take place in Darmstadt on the 29th of November 2016.<br />
<br />
=== Call For Presentations ===<br />
<br />
The conference is aiming at German folks, correspondingly the conference language is German but English presentations are welcome as well. The German OWASP Day is a true security conference, with expected talks and presentations on secure software development, usage, test and management, all around web based applications. Non-technical talks are welcome as well. Please refrain from submitting marketing pitches. Sponsors will have a separate possibilities for marketing.<br />
<br />
=== CfP in detail ===<br />
<br />
To submit a proposal, please submit <u>[https://easychair.org/conferences/?conf=owaspger15 online]</u> an abstract of the presentation (500 to 4000 characters) and a brief biography (150 to 800 characters). The planned presentation time is 20 or 40 minutes (excl. 5 minutes for discussion). You can also attach a preliminary version of your presentation. (Please watch out for mistakes as we'll take your abstract and publish it 1:1 together in our program).<br />
<br />
We are interested in all topics related to (Web) Application Security and OWASP, in particular:<br />
<br />
* Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.<br />
* Research topics in web security <br />
* Frameworks and best practices for secure development<br />
* Mobile Security<br />
* Cloud Security, specifically secure Cloud Apps<br />
* Browser Security<br />
* Security in Web Applications and Web Services (REST, XML)<br />
* Secure Development Lifecycle<br />
* Privacy protection in web based apps<br />
* Security programs for developers, testers, architects and project owners<br />
* Security management for application<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Static Code Analysis<br />
* Updates to OWASP Projects<br />
<br />
We will offer either one track. All presentations will be published on the conference website under the OWASP license. Therefore all speakers must accept and sign the <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> without changes prior to the conference. It requires that you use one of the following templates: (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Unfortunately we can't cover any travel expenses or costs for accommodation.<br />
<br />
'''Participants and speakers are all warmly invited to attend the evening program on November 28th (details to be announced).'''<br />
<br />
<br />
=== Program Committee ===<br />
<br />
* Ben Stock (CISPA, Uni Saarland)<br />
* Alexios Fakos (PWC)<br />
* Ingo Hanke (IDEAS, Conference Chair)<br />
* Mario Heiderich (Cure53)<br />
* Boris Hemkemeier (Commerzbank)<br />
* Martin Johns (SAP, PC Chair)<br />
* Sebastian Lekies (Google)<br />
* Sebastian Schinzel (Hochschule Münster)<br />
* Henrik Willert (1&1)<br />
* Jan Wolff (Bosch)<br />
<br />
=== Deadlines ===<br />
<br />
Submissions no later than October 9th, 2015 only online via https://easychair.org/conferences/?conf=owaspger16<br />
<br />
* Please read and follow the requirements above: <br />
** Abstract<br />
** bio<br />
** length <br />
** and if possible slides<br />
<br />
* Dates:<br />
** CfP closes: '''October 1st, 2016'''<br />
** Notification of acceptance by October 7th, 2016 <br />
** Conference: November 29th, 2016<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2015]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2015/CfP <top>] [[German_OWASP_Day_2015|<zurück>]] [[Germany|<Germany>]]<br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]] [[Category:CfP]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016&diff=219577German OWASP Day 20162016-07-29T14:36:13Z<p>Martinj: </p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]<br />
<br />
<br><br />
<br />
<!--achim Bild noch austauschen <br />
[[Image:2015_owasp_day_w_480px.png|right|Logo 8th German OWASP Day, CC-BY-NC-SA, Picture by http://www.anneberingmeier.com]]<br />
--><br />
__TOC__<br />
<br />
<br />
== German OWASP Day 2016 / Deutscher OWASP-Tag 2016 ==<br />
<br />
<br />
<span style="font-size:110%"><br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum siebten Mal. Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29. November.2015 in Darmstadt statt. Am Vorabbend sind alle Teilnehmer und Sprecher in ... zum Networken und fachlichen Austausch eingeladen. <br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2016 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketingvorträge.<br />
<br />
Wir freuen uns, das wir in diesem Jahr mit [https://www.cast-forum.de/home.html CAST e.V.] eine der<br />
wichtigsten Institutionen für angewandte Sicherheit in Deutschland als<br />
Partner für die Konferenz gewinnen konnten. CAST ist seit 2015<br />
Academic Supporter von OWASP.<br />
<br />
Alle Infos werden über die Mailingliste des German Chapters<br />
(https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und<br />
sind auf der Webseite des<br />
German OWASP Day 2016<br />
(https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.<br />
<br />
</span><br />
<br />
== Call For Presentations ==<br />
<br />
Wir sind jetzt offen für Einreichungen. Alle Details finden sich im [https://www.owasp.org/index.php/German_OWASP_Day_2016/CfP Call For Presentations].<br />
<br />
<br />
<!--<br />
== Unsere Sponsoren ==<br />
<br />
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.<br />
Sponsoren: bitte 3-spaltige Tabelle benutzen, damit genuegend Abstand zwischen den Bildern<br />
{| cellspacing="5" cellpadding="4" border="0" style="width:97%;"<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Gold'''<br />
| align="left" style="border-bottom:1px solid black;min-width:10em" |'''Standard'''<br />
| --><br />
<!-- <br />
|-<br />
| [[Image:secuvera_8700px.png|link=https://www.secuvera.de|www.secuvera.de]] <br />
| [[Image:psi_8700px.png|link=http://www.psi.de/|www.psi.de]] <br />
|<br />
|<br />
|}<br />
--><br />
<br />
== Sponsoring ==<br />
<br />
Ist natürlich auch dieses Jahr wieder herzlich willkommen. <br />
<br />
Details für Sponsoren finden sich im <u>[[...|&rarr; Sponsorsheet ]]</u>, <u>[[...|&rarr; Information in English ]]</u>. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]<br />
<br />
== Wann + Wo ==<br />
=== Konferenzort ===<br />
* Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30. <br />
* <u>[...]</u>, zwei Minuten vom Bahnhof entfernt.<br />
<br />
=== Vorabendveranstaltung ===<br />
<br />
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November eingeladen (im Tagungsbeitrag enthalten). <br />
<br />
Wir treffen uns in ... <u>[...]</u> ab 19:00 Uhr.<br />
<br />
<!-- <br />
== Programm mit Präsentationen zum Download ==<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 29. November 2016''' &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Raum: '''...'''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>'' ... ''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Keynote:<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" |<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | <br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
|-<br />
|}<br />
--><br />
<br />
== Online-Registrierung / Eintrittspreise == <br />
<br />
Die Registrierung öffnet nach den Sommerferien und wird rechtzeitig angekündigt. <br />
<br />
Preis: tba. bei allen Tickets ist die Vorabendveranstaltung inbegriffen. <br />
<br />
<!--<br />
// Liebe Hacker: das ist nur der Format-Stub vom letzten Mal. Die Preise für 2016 werden unterschiedlich, aber grundsätzlich ähnlich sein.<br />
<br />
Für den OWASP German Day 2016 gelten folgenden Eintrittspreise (inkl. gesetzl. MwSt.). Bei allen Tickets ist die Vorabendveranstaltung inbegriffen: <br />
<br />
*Regulär: 219,00 €<br />
*OWASP Member: 199,00 € <u>[https://www.owasp.org/index.php/Newmembership OWASP Member im German Chapter könnt ihr hier werden.]</u><br />
*Studenten: 60,00 €. Hiermit sind "bloße" Studenten gemeint. Wir finanzieren diese Tickets quer. Firmen/Selbständige zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation.<br />
<br />
Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.<br />
<br />
<br />
'''Der German OWASP Day ist ausgebucht. Die Registrierung wurde geschlossen. Eine Vorort-Registrierung ist nicht möglich!'''<br />
<br />
Noch nicht registierte Sprecher oder Sponsorenvertreter wenden sich bitte an [mailto:germanowaspday2015@owasp.org germanowaspday2015@owasp.org].<br />
<br />
=== Fünf freie Tickets für Studenten ===<br />
In diesem Jahr sponsored das OWASP German Chapter fünf Freitickets für den German OWASP Day inklusive der Vorabendveranstaltung und einer Übernachtung (max. 90 EUR).<br />
<br />
Bewerbungsschluss war am dd.mm.2016. Die Einsender werden in Kürze informiert. Falls es nicht geklappt hat: auch das Studententicket für 60 EUR ist unschlagbar günstig.<br />
--><br />
<br />
== Übernachtung ==<br />
TBA<br />
<br />
<br />
<br />
== Organisation ==<br />
<br />
* Ingo Hanke (Chair)<br />
* Boris Hemkemeier<br />
* Hartwig Gelhausen <br />
* Tobias Glemser<br />
* [[User:achim|Achim Hoffmann]]<br />
<!--<br />
* [[User: Bjoern Kimminich|Björn Kimminich]]<br />
* Jan Wolff<br />
--><br />
* [[User:Martin_Johns|Martin Johns]] (Program Chair)<br />
* [[User:Dirk Wetter|Dirk Wetter]] (Chapter Leader)<br />
<br />
== Hash tag ==<br />
<br />
<u>[TBD]</u><br />
<br />
== Social Media Response ==<br />
<u>[TBD]</u><br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2016]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2016 <top>] [[Germany|<Germany>]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016/CfP&diff=219576German OWASP Day 2016/CfP2016-07-29T14:26:41Z<p>Martinj: /* Termine / Einreichung */</p>
<hr />
<div><!--<br />
{{TOC left}}<br />
--><br />
<br />
== Deutscher OWASP-Tag 2016 (DE) ==<br />
<br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal! Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29.11.2016 in Darmstadt statt.<br />
<br />
=== Call For Presentations ===<br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch, Vorträge in Englisch sind auch willkommen. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2015 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. <br />
OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketing.<br />
<br />
Herstellern und Dienstleistern bieten wir im Rahmen des Sponsorings eine geeignete Marketingplattform.<br />
<br />
=== Fachliches ===<br />
Für Vortragsvorschläge bitten wir um eine Kurzzusammenfassung und -- sofern vorhanden --um eine Vorabversion des Vortrags. Die Zusammenfassung sollte nicht weniger als 500 (maximal: 4000) Zeichen lang sein. (Bitte auf Orthographie achten, da die Zusammenfassung so, wie sie ist, ggf. im Programm erscheint). Die gilt ebenso für die obligatorische Kurzbiographie (150-800 Zeichen). Die Präsentationen werden voraussichtlich 20 oder 40 Minuten dauern, plus 5 Minuten Diskussion.<br />
<br />
Erwünscht sind alle Themen mit Bezug zu (Web)-Applikationssicherheit und OWASP, insbesondere:<br />
<br />
* Praxisrelevante technische Vorträge <br />
* Neue Forschungsergebnisse <br />
* Mobile Security<br />
* Sichere Webanwendungen in der Cloud<br />
* Browsersicherheit<br />
* Sicherheit bei Web Services (REST, XML)<br />
* Secure Development Lifecycle<br />
* Datenschutz in Webapplikationen<br />
* Security-Programme für Entwickler, Tester, Architekten und Projektleiter<br />
* Security Management für Webanwendungen<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Statische Code Analyse<br />
* Neues zu OWASP-Projekten <br />
<br />
Wir bieten einen Track an. Folien der Vorträge werden unter der freien OWASP-Lizenz auf der Konferenzwebseite veröffentlicht. Daher muss spätestens bei Annahme des Beitrags durch das Programmkomitee das <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> ohne Änderung akzeptiert und unterschrieben werden. Das Speaker Agreement sieht vor, dass die Standardfoliensätze von OWASP verwendet werden (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Kosten (für Reise und Unterkunft) können wir leider nicht übernehmen.<br />
<br />
'''Alle Teilnehmer sowie Vortragende sind herzlich zur Abendveranstaltung am 28. November eingeladen (Details werden noch bekannt gegeben).'''<br />
<br />
=== Programmkomitee ===<br />
<br />
* Ben Stock (Uni Saarbrücken)<br />
* Alexios Fakos (PWC)<br />
* Ingo Hanke (IDEAS, Conference Chair)<br />
* Mario Heiderich (Cure53)<br />
* Boris Hemkemeier (Commerzbank)<br />
* Martin Johns (SAP, PC Chair)<br />
* Sebastian Lekies (Google)<br />
* Sebastian Schinzel (Hochschule Münster)<br />
* Henrik Willert (1&1)<br />
* Jan Wolff (Bosch)<br />
<br />
=== Termine / Einreichung ===<br />
<br />
Einreichungen ausschließlich online bis zum '''01. Oktober 2016''' über https://easychair.org/conferences/?conf=owaspger16<br />
<br />
* Bitte geben Sie alle vortragsrelevanten Informationen an (siehe Call for Presentations oben):<br />
** Abstract<br />
** Bio<br />
** Länge<br />
** ggf. Foliensätze<br />
<br />
* Fristen/Termine<br />
** CfP schließt: 01.10.2016<br />
** Benachrichtigung der Einreicher: 07.10.2016<br />
** Konferenz: 29.11.2016<br />
<br />
<br/><br />
<br />
== German OWASP Day 2016 (EN) ==<br />
<br />
The German Chapter of the Open Web Application Security Project (OWASP) is organizing their German OWASP Conference. This German OWASP Day is the most important, independent and non-commercial conference in Germany related to application security. <br />
<br />
The conference will take place in Darmstadt on the 29th of November 2016.<br />
<br />
=== Call For Presentations ===<br />
<br />
The conference is aiming at German folks, correspondingly the conference language is German but English presentations are welcome as well. The German OWASP Day is a true security conference, with expected talks and presentations on secure software development, usage, test and management, all around web based applications. Non-technical talks are welcome as well. Please refrain from submitting marketing pitches. Sponsors will have a separate possibilities for marketing.<br />
<br />
=== CfP in detail ===<br />
<br />
To submit a proposal, please submit <u>[https://easychair.org/conferences/?conf=owaspger15 online]</u> an abstract of the presentation (500 to 4000 characters) and a brief biography (150 to 800 characters). The planned presentation time is 20 or 40 minutes (excl. 5 minutes for discussion). You can also attach a preliminary version of your presentation. (Please watch out for mistakes as we'll take your abstract and publish it 1:1 together in our program).<br />
<br />
We are interested in all topics related to (Web) Application Security and OWASP, in particular:<br />
<br />
* Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.<br />
* Research topics in web security <br />
* Frameworks and best practices for secure development<br />
* Mobile Security<br />
* Cloud Security, specifically secure Cloud Apps<br />
* Browser Security<br />
* Security in Web Applications and Web Services (REST, XML)<br />
* Secure Development Lifecycle<br />
* Privacy protection in web based apps<br />
* Security programs for developers, testers, architects and project owners<br />
* Security management for application<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Static Code Analysis<br />
* Updates to OWASP Projects<br />
<br />
We will offer either one track. All presentations will be published on the conference website under the OWASP license. Therefore all speakers must accept and sign the <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> without changes prior to the conference. It requires that you use one of the following templates: (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Unfortunately we can't cover any travel expenses or costs for accommodation.<br />
<br />
'''Participants and speakers are all warmly invited to attend the evening program on November 28th (details to be announced).'''<br />
<br />
<br />
=== Program Committee ===<br />
<br />
* Ben Stock (Uni Saarbrücken)<br />
* Alexios Fakos (PWC)<br />
* Ingo Hanke (IDEAS, Conference Chair)<br />
* Mario Heiderich (Cure53)<br />
* Boris Hemkemeier (Commerzbank)<br />
* Martin Johns (SAP, PC Chair)<br />
* Sebastian Lekies (Google)<br />
* Sebastian Schinzel (Hochschule Münster)<br />
* Henrik Willert (1&1)<br />
* Jan Wolff (Bosch)<br />
<br />
=== Deadlines ===<br />
<br />
Submissions no later than October 9th, 2015 only online via https://easychair.org/conferences/?conf=owaspger16<br />
<br />
* Please read and follow the requirements above: <br />
** Abstract<br />
** bio<br />
** length <br />
** and if possible slides<br />
<br />
* Dates:<br />
** CfP closes: '''October 1st, 2016'''<br />
** Notification of acceptance by October 7th, 2016 <br />
** Conference: November 29th, 2016<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2015]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2015/CfP <top>] [[German_OWASP_Day_2015|<zurück>]] [[Germany|<Germany>]]<br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]] [[Category:CfP]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016/CfP&diff=219328German OWASP Day 2016/CfP2016-07-26T07:48:08Z<p>Martinj: </p>
<hr />
<div><!--<br />
{{TOC left}}<br />
--><br />
<br />
== Deutscher OWASP-Tag 2016 (DE) ==<br />
<br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal! Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29.11.2016 in Darmstadt statt.<br />
<br />
=== Call For Presentations ===<br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch, Vorträge in Englisch sind auch willkommen. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2015 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. <br />
OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketing.<br />
<br />
Herstellern und Dienstleistern bieten wir im Rahmen des Sponsorings eine geeignete Marketingplattform.<br />
<br />
=== Fachliches ===<br />
Für Vortragsvorschläge bitten wir um eine Kurzzusammenfassung und -- sofern vorhanden --um eine Vorabversion des Vortrags. Die Zusammenfassung sollte nicht weniger als 500 (maximal: 4000) Zeichen lang sein. (Bitte auf Orthographie achten, da die Zusammenfassung so, wie sie ist, ggf. im Programm erscheint). Die gilt ebenso für die obligatorische Kurzbiographie (150-800 Zeichen). Die Präsentationen werden voraussichtlich 20 oder 40 Minuten dauern, plus 5 Minuten Diskussion.<br />
<br />
Erwünscht sind alle Themen mit Bezug zu (Web)-Applikationssicherheit und OWASP, insbesondere:<br />
<br />
* Praxisrelevante technische Vorträge <br />
* Neue Forschungsergebnisse <br />
* Mobile Security<br />
* Sichere Webanwendungen in der Cloud<br />
* Browsersicherheit<br />
* Sicherheit bei Web Services (REST, XML)<br />
* Secure Development Lifecycle<br />
* Datenschutz in Webapplikationen<br />
* Security-Programme für Entwickler, Tester, Architekten und Projektleiter<br />
* Security Management für Webanwendungen<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Statische Code Analyse<br />
* Neues zu OWASP-Projekten <br />
<br />
Wir bieten einen Track an. Folien der Vorträge werden unter der freien OWASP-Lizenz auf der Konferenzwebseite veröffentlicht. Daher muss spätestens bei Annahme des Beitrags durch das Programmkomitee das <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> ohne Änderung akzeptiert und unterschrieben werden. Das Speaker Agreement sieht vor, dass die Standardfoliensätze von OWASP verwendet werden (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Kosten (für Reise und Unterkunft) können wir leider nicht übernehmen.<br />
<br />
'''Alle Teilnehmer sowie Vortragende sind herzlich zur Abendveranstaltung am 28. November eingeladen (Details werden noch bekannt gegeben).'''<br />
<br />
=== Programmkomitee ===<br />
<br />
* Ben Stock (Uni Saarbrücken)<br />
* Alexios Fakos (PWC)<br />
* Ingo Hanke (IDEAS, Conference Chair)<br />
* Mario Heiderich (Cure53)<br />
* Boris Hemkemeier (Commerzbank)<br />
* Martin Johns (SAP, PC Chair)<br />
* Sebastian Lekies (Google)<br />
* Sebastian Schinzel (Hochschule Münster)<br />
* Henrik Willert (1&1)<br />
* Jan Wolff (Bosch)<br />
<br />
=== Termine / Einreichung ===<br />
<br />
Einreichungen ausschließlich online bis zum '''01. Oktober 2016''' über https://easychair.org/conferences/?conf=owaspger16<br />
<br />
* Bitte geben Sie alle vortragsrelevanten Informationen an (siehe Call for Presentations oben):<br />
** Abstract<br />
** Bio<br />
** Länge<br />
** ggf. Foliensätze<br />
<br />
* Fristen/Termine<br />
** CfP schließt: 01.10.2016<br />
** Benachrichtigung der Einreicher: 07.10.2015<br />
** Konferenz: 29.11.2016<br />
<br />
<br/><br />
<br />
<br />
<br />
== German OWASP Day 2016 (EN) ==<br />
<br />
The German Chapter of the Open Web Application Security Project (OWASP) is organizing their German OWASP Conference. This German OWASP Day is the most important, independent and non-commercial conference in Germany related to application security. <br />
<br />
The conference will take place in Darmstadt on the 29th of November 2016.<br />
<br />
=== Call For Presentations ===<br />
<br />
The conference is aiming at German folks, correspondingly the conference language is German but English presentations are welcome as well. The German OWASP Day is a true security conference, with expected talks and presentations on secure software development, usage, test and management, all around web based applications. Non-technical talks are welcome as well. Please refrain from submitting marketing pitches. Sponsors will have a separate possibilities for marketing.<br />
<br />
=== CfP in detail ===<br />
<br />
To submit a proposal, please submit <u>[https://easychair.org/conferences/?conf=owaspger15 online]</u> an abstract of the presentation (500 to 4000 characters) and a brief biography (150 to 800 characters). The planned presentation time is 20 or 40 minutes (excl. 5 minutes for discussion). You can also attach a preliminary version of your presentation. (Please watch out for mistakes as we'll take your abstract and publish it 1:1 together in our program).<br />
<br />
We are interested in all topics related to (Web) Application Security and OWASP, in particular:<br />
<br />
* Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.<br />
* Research topics in web security <br />
* Frameworks and best practices for secure development<br />
* Mobile Security<br />
* Cloud Security, specifically secure Cloud Apps<br />
* Browser Security<br />
* Security in Web Applications and Web Services (REST, XML)<br />
* Secure Development Lifecycle<br />
* Privacy protection in web based apps<br />
* Security programs for developers, testers, architects and project owners<br />
* Security management for application<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Static Code Analysis<br />
* Updates to OWASP Projects<br />
<br />
We will offer either one track. All presentations will be published on the conference website under the OWASP license. Therefore all speakers must accept and sign the <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> without changes prior to the conference. It requires that you use one of the following templates: (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Unfortunately we can't cover any travel expenses or costs for accommodation.<br />
<br />
'''Participants and speakers are all warmly invited to attend the evening program on November 28th (details to be announced).'''<br />
<br />
<br />
=== Program Committee ===<br />
<br />
* Ben Stock (Uni Saarbrücken)<br />
* Alexios Fakos (PWC)<br />
* Ingo Hanke (IDEAS, Conference Chair)<br />
* Mario Heiderich (Cure53)<br />
* Boris Hemkemeier (Commerzbank)<br />
* Martin Johns (SAP, PC Chair)<br />
* Sebastian Lekies (Google)<br />
* Sebastian Schinzel (Hochschule Münster)<br />
* Henrik Willert (1&1)<br />
* Jan Wolff (Bosch)<br />
<br />
=== Deadlines ===<br />
<br />
Submissions no later than October 9th, 2015 only online via https://easychair.org/conferences/?conf=owaspger16<br />
<br />
* Please read and follow the requirements above: <br />
** Abstract<br />
** bio<br />
** length <br />
** and if possible slides<br />
<br />
* Dates:<br />
** CfP closes: '''October 1st, 2016'''<br />
** Notification of acceptance by October 7th, 2016 <br />
** Conference: November 29th, 2016<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2015]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2015/CfP <top>] [[German_OWASP_Day_2015|<zurück>]] [[Germany|<Germany>]]<br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]] [[Category:CfP]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2016/CfP&diff=219256German OWASP Day 2016/CfP2016-07-25T12:30:01Z<p>Martinj: Created page with "<!-- {{TOC left}} --> == Deutscher OWASP-Tag 2016 (DE) == Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale..."</p>
<hr />
<div><!--<br />
{{TOC left}}<br />
--><br />
<br />
== Deutscher OWASP-Tag 2016 (DE) ==<br />
<br />
Auch dieses Jahr richtet das German Chapter des Open Web Application Security Project (OWASP) wieder ihre nationale OWASP-Konferenz aus -- zum achten Mal! Der German OWASP Day ist die wichtigste, unabhängige und nicht-kommerzielle Konferenz in Deutschland zur Sicherheit von Anwendungen. Er findet am 29.11.2016 in Darmstadt statt.<br />
<br />
=== Call For Presentations ===<br />
<br />
Die Konferenz richtet sich primär an ein deutschsprachiges Publikum; die Konferenzsprache ist Deutsch, Vorträge in Englisch sind auch willkommen. Die Zielgruppe sind Entwickler, IT-Sicherheitsverantwortliche, DV-Leiter und die klassische “security crowd”. Der German OWASP Day 2015 ist eine Security-Konferenz mit Fachvorträgen zu sicherer Entwicklung, Betrieb, Test und Management im Umfeld von webbasierten Anwendungen. Auch fachübergreifende, nicht-technische Themen sind willkommen. <br />
OWASP und OWASP-Konferenzen sind herstellerneutral und ohne Marketing.<br />
<br />
Herstellern und Dienstleistern bieten wir im Rahmen des Sponsorings eine geeignete Marketingplattform.<br />
<br />
=== Fachliches ===<br />
Für Vortragsvorschläge bitten wir um eine Kurzzusammenfassung und -- sofern vorhanden --um eine Vorabversion des Vortrags. Die Zusammenfassung sollte nicht weniger als 500 (maximal: 4000) Zeichen lang sein. (Bitte auf Orthographie achten, da die Zusammenfassung so, wie sie ist, ggf. im Programm erscheint). Die gilt ebenso für die obligatorische Kurzbiographie (150-800 Zeichen). Die Präsentationen werden voraussichtlich 20 oder 40 Minuten dauern, plus 5 Minuten Diskussion.<br />
<br />
Erwünscht sind alle Themen mit Bezug zu (Web)-Applikationssicherheit und OWASP, insbesondere:<br />
<br />
* Praxisrelevante technische Vorträge <br />
* Neue Forschungsergebnisse <br />
* Mobile Security<br />
* Sichere Webanwendungen in der Cloud<br />
* Browsersicherheit<br />
* Sicherheit bei Web Services (REST, XML)<br />
* Secure Development Lifecycle<br />
* Datenschutz in Webapplikationen<br />
* Security-Programme für Entwickler, Tester, Architekten und Projektleiter<br />
* Security Management für Webanwendungen<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Statische Code Analyse<br />
* Neues zu OWASP-Projekten <br />
<br />
Wir bieten einen Track an. Folien der Vorträge werden unter der freien OWASP-Lizenz auf der Konferenzwebseite veröffentlicht. Daher muss spätestens bei Annahme des Beitrags durch das Programmkomitee das <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> ohne Änderung akzeptiert und unterschrieben werden. Das Speaker Agreement sieht vor, dass die Standardfoliensätze von OWASP verwendet werden (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Kosten (für Reise und Unterkunft) können wir leider nicht übernehmen.<br />
<br />
'''Alle Teilnehmer sowie Vortragende sind herzlich zur Abendveranstaltung am 28. November eingeladen (Details werden noch bekannt gegeben).'''<br />
<br />
=== Programmkomitee ===<br />
<br />
* Ben Stock (Uni Saarbrücken)<br />
* Alexios Fakos (PWC)<br />
* Ingo Hanke (IDEAS, Conference Chair)<br />
* Mario Heiderich (Cure53)<br />
* Boris Hemkemeier (Commerzbank)<br />
* Martin Johns (SAP, PC Chair)<br />
* Sebastian Lekies (Google)<br />
* Sebastian Schinzel (Hochschule Münster)<br />
* Henrik Willert (1&1)<br />
* Jan Wolff (Bosch)<br />
<br />
=== Termine / Einreichung ===<br />
<br />
Einreichungen ausschließlich online bis zum '''01. Oktober 2016''' über https://easychair.org/conferences/?conf=owaspger15<br />
<br />
* Bitte geben Sie alle vortragsrelevanten Informationen an (siehe Call for Presentations oben):<br />
** Abstract<br />
** Bio<br />
** Länge<br />
** ggf. Foliensätze<br />
<br />
* Fristen/Termine<br />
** CfP schließt: 01.10.2016<br />
** Benachrichtigung der Einreicher: 07.10.2015<br />
** Konferenz: 29.11.2016<br />
<br />
<br/><br />
<br />
<br />
<br />
== German OWASP Day 2016 (EN) ==<br />
<br />
The German Chapter of the Open Web Application Security Project (OWASP) is organizing their German OWASP Conference. This German OWASP Day is the most important, independent and non-commercial conference in Germany related to application security. <br />
<br />
The conference will take place in Darmstadt on the 29th of November 2016.<br />
<br />
=== Call For Presentations ===<br />
<br />
The conference is aiming at German folks, correspondingly the conference language is German but English presentations are welcome as well. The German OWASP Day is a true security conference, with expected talks and presentations on secure software development, usage, test and management, all around web based applications. Non-technical talks are welcome as well. Please refrain from submitting marketing pitches. Sponsors will have a separate possibilities for marketing.<br />
<br />
=== CfP in detail ===<br />
<br />
To submit a proposal, please submit <u>[https://easychair.org/conferences/?conf=owaspger15 online]</u> an abstract of the presentation (500 to 4000 characters) and a brief biography (150 to 800 characters). The planned presentation time is 20 or 40 minutes (excl. 5 minutes for discussion). You can also attach a preliminary version of your presentation. (Please watch out for mistakes as we'll take your abstract and publish it 1:1 together in our program).<br />
<br />
We are interested in all topics related to (Web) Application Security and OWASP, in particular:<br />
<br />
* Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.<br />
* Research topics in web security <br />
* Frameworks and best practices for secure development<br />
* Mobile Security<br />
* Cloud Security, specifically secure Cloud Apps<br />
* Browser Security<br />
* Security in Web Applications and Web Services (REST, XML)<br />
* Secure Development Lifecycle<br />
* Privacy protection in web based apps<br />
* Security programs for developers, testers, architects and project owners<br />
* Security management for application<br />
* Vulnerability Analysis und Application Security Testing: Code Review, Pentest, Static Code Analysis<br />
* Updates to OWASP Projects<br />
<br />
We will offer either one track. All presentations will be published on the conference website under the OWASP license. Therefore all speakers must accept and sign the <u>[[Speaker_Agreement|OWASP Speaker Agreement]]</u> without changes prior to the conference. It requires that you use one of the following templates: (PPT, PPTX, ODF/OpenOffice).<br />
<br />
Unfortunately we can't cover any travel expenses or costs for accommodation.<br />
<br />
'''Participants and speakers are all warmly invited to attend the evening program on November 28th (details to be announced).'''<br />
<br />
<br />
=== Program Committee ===<br />
<br />
* Ben Stock (Uni Saarbrücken)<br />
* Alexios Fakos (PWC)<br />
* Ingo Hanke (IDEAS, Conference Chair)<br />
* Mario Heiderich (Cure53)<br />
* Boris Hemkemeier (Commerzbank)<br />
* Martin Johns (SAP, PC Chair)<br />
* Sebastian Lekies (Google)<br />
* Sebastian Schinzel (Hochschule Münster)<br />
* Henrik Willert (1&1)<br />
* Jan Wolff (Bosch)<br />
<br />
=== Deadlines ===<br />
<br />
Submissions no later than October 9th, 2015 only online via https://easychair.org/conferences/?conf=owaspger15<br />
<br />
* Please read and follow the requirements above: <br />
** Abstract<br />
** bio<br />
** length <br />
** and if possible slides<br />
<br />
* Dates:<br />
** CfP closes: '''October 1st, 2016'''<br />
** Notification of acceptance by October 7th, 2016 <br />
** Conference: November 29th, 2016<br />
<br />
<br> <headertabs /> <!-- this will sort under capital O --><br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2015]]<br />
<br />
----<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2015/CfP <top>] [[German_OWASP_Day_2015|<zurück>]] [[Germany|<Germany>]]<br />
<br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]] [[Category:CfP]]</div>Martinjhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2015/Programm&diff=203480German OWASP Day 2015/Programm2015-11-17T18:15:54Z<p>Martinj: /* Vorläufige Agenda / Vorträge / Presentations */</p>
<hr />
<div>[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]<br />
<br />
<br />
__NOTOC__<br />
<br />
[[Image:2015_owasp_day_w_480px.png|center|Logo 7ter German OWASP Day]]<br />
<br />
== Vorläufige Agenda / Vorträge / Presentations ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="left" colspan="2" style="width=15%; background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | <br />
<br>'''Dienstag, 01. Dezember 2015''' &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Raum: '''Saalbau'''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:15 - 10:30 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Einlass<br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 08:55 - 9:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome'''<br>''Boris Hemkemeier & Dirk Wetter''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:45 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''Morning Keynote: t.b.a''' <br> ''Christian Rhino (Commerzbank)'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:45 - 10:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Not so Smart: On Smart TV Apps'''<br> ''Marcus Niemietz, Juraj Somorovsky and Christian Mainka'' <br><br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Your Scripts in My Page - What Could Possibly Go Wrong?'''<br> ''Sebastian Lekies and Ben Stock''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 11:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Why Organisations should rely on Mobile AppTesting'''<br> ''Michael Spreitzenbarth and Jennifer Bombien''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Löschen können! Die DIN 66398 und die Entwicklung von Anwendungen'''<br> ''Volker Hammer''<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:15 - 13:15<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:15 - 14:00<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(255, 209, 209);" | '''Technical Keynote: Robuste und Praktikable Ansätze zur Verhinderung von Sicherheitsdefekten'''<br> ''Christoph Kern (Google)''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:00 - 14:30<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Practical Invalid Curve Attacks on TLS-ECDH'''<br> ''Juraj Somorovsky''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''Lighning Talks'''<br> <br />
* Björn Kimminich:. Hacking the Juice Shop ("So ein Saftladen!")<br />
* Christian Mainka, Vladislav Mladenov and Tim Guenther: EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On<br />
* Ralf Reinhardt: OWASP Secure Software Contract Annex auf Deutsch<br />
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker<br />
<br />
|-<br />
| style=" background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Webschwachstellen im Internet of Things'''<br> ''Christian Dresen and Sebastian Schinzel''<br />
<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:15 - 16:45<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''IT-Sicherheitsgesetz und mögliche Effekte für die Software-Industrie'''<br> ''Alexios Fakos''<br />
|-<br />
| style="background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:45 - 17:15<br />
| align="left" style="background: none repeat scroll 0% 0% rgb(153, 255, 153);" | '''Praktische Erfahrungen aus der Applikationssicherheit'''<br> ''Amir Alsbih''<br />
|-<br />
|}<br />
<br />
== Details zu den Vorträgen ==<br />
<!-- https://www.owasp.org/index.php/German_OWASP_Day_2014/Programm --><br />
<br />
<br />
=== Keynotes ===<br />
<br />
''Christian Rhino'' (Commerzbank): '''t.b.a'''<br />
<br />
----<br />
<br />
''Christoph Kern'' (Google): '''Robuste und Praktikable Ansätze zur Verhinderung von Sicherheitsdefekten'''<br />
<br />
Abstract:<br />
<br />
Bestimmte Klassen von Sicherheitslücken, wie z.B. SQL Injection und XSS (Cross-Site Scripting) sind nach wie vor weit verbreitet. Dies ist unserer Ansicht nach darauf zurückzuführen, dass die zugrundeliegenden APIs (z.B. SQL Query APIs, oder APIs der Web Platform) die Einführung von API-spezifischen Programmierfehlern und Sicherheitslücken grundsätzlich ermöglichen. Da diese APIs in großen Entwicklungsprojekten typischerweise weitläufig benutzt werden, ist es zu erwarten, dass Entwickler in einigen dieser API-Aufrufe einen Fehler bezüglich der sicheren Benutzung der APIs machen (z.B., es versäumen, korrekte Datenvalidierung anzuwenden) und somit eine Sicherheitslücke einführen.<br />
<br />
Um diesem Problem umfassend zu begegnen hat Google's Informationssicherheitsteam alternative APIs entwickelt, die so konzipiert sind, dass die Vermeidung von API-spezifischen Sicherheitsdefekten nicht mehr in der Verantwortung des Anwendungsentwicklers liegt, sondern Zuständigkeit der APIs und desser Implementierung ist. <br />
<br />
Unsere Erfahrungen der letzten Jahre haben gezeigt dass dieser Ansatz auch in sehr komplexen Entwicklungsprojekten praktikabel ist, und zu signifikanter Reduzierung bestimmter Sicherheitsdefekte, insbesondere XSS, führen kann.<br />
<br />
Bio:<br />
<br />
Christoph Kern ist seit 2003 bei Google im Bereich Informations- und Anwendungssicherheit tätig. Er leitet dort seit 2012 ein Team, das sich darauf spezialisiert hat, Methoden des Software- und Framework-Designs zu entwickeln, die das Risiko der Einführung bestimmter Klassen von Sicherheitsdefekten (z.B., XSS und SQL Injection) drastisch reduzieren.<br />
<br />
=== Lightning Talks ===<br />
<br />
Erstmal dieses Jahr: Lightning Talks auf dem German OWASP Day - Fast, fun und (wenn möglich) mit Demo :)<br />
<br />
* Björn Kimminich:. Hacking the Juice Shop ("So ein Saftladen!")<br />
* Christian Mainka, Vladislav Mladenov and Tim Guenther: EsPReSSO oder eine Erfrischung auf der Suche nach Single Sign-On<br />
* Ralf Reinhardt: OWASP Secure Software Contract Annex auf Deutsch<br />
* Christian Mainka and Juraj Somorovsky. How to Evaluate Web Services with WS-Attacker<br />
<br />
=== Technisches Programm ===<br />
<br />
''Marcus Niemietz, Juraj Somorovsky and Christian Mainka:'' '''Not so Smart: On Smart TV Apps'''<br />
<br />
One of the main characteristics of Smart TVs are apps. Apps extend the Smart TV behavior with various functionalities, ranging from usage of social networks or payed streaming services, to buying articles on Ebay. These actions demand usage of critical data like authentication tokens and passwords, and thus raise a question on new attack scenarios and general security of Smart TV apps.<br />
<br />
In this paper, we investigate attack models for Smart TVs and their apps, and systematically analyze security of Smart TV devices. We point out that some popular apps, including Facebook, Ebay or Watchever, send login data over unencrypted<br />
channels. Even worse, we show that an arbitrary app installed on devices of the market share leader Samsung can gain access to the credentials of a Samsung Single Sign-On account. Therefore, such an app can hijack a complete user account including all his devices like smartphones and tablets connected with it. Based on our findings, we provide recommendations that are of general importance and applicable to areas beyond Smart TVs, in other Internet of Things scenarios.<br />
<br />
----<br />
<br />
''Amir Alsbih:'' '''Praktische Erfahrungen aus der Applikationssicherheit'''<br />
<br />
In diesem Vortrag sollen die praktischen Erfahrungen geteilt werden, die ich in den letzten 365 Tagen während meiner Tätigkeit als CISO gemacht habe. Dabei werden die wichtigsten Erkenntnissen aus Sicherheitsabnahmen, Audits und Projekten beschrieben. Durch das Aufzeigen der praktischen Realität über eine Vielzahl von Projekten mit unterschiedlichen Beteiligten, unterschiedlichen Größen und unterschiedlichen "Zielgruppen" soll verdeutlicht werden, wie wichtig Kontrollen und Konsequenzen sind.<br />
<br />
----<br />
<br />
''Michael Spreitzenbarth and Jennifer Bombien:'' '''Why Organisations should rely on Mobile AppTesting'''<br />
<br />
The usage of mobile applications is increasing rapidly not only in the private sector but also within organisations. This paper is proposed to provide an overview of available testing solutions and help to answer the most demandable question: are those apps in question secure. Therefore, we will discuss the capabilities of all solutions and introduce a mobile application testing matrix. Within the final part of the presentation we will show some of our findings.<br />
<br />
----<br />
<br />
''Volker Hammer:'' '''Löschen können! Die DIN 66398 und die Entwicklung von Anwendungen'''<br />
<br />
Das Löschen personenbezogener Daten wird vom BDSG gefordert. In der Praxis gibt es große Umsetzungsdefizite. Das hat zwei Ursachen: Die Löschregeln sind nicht definiert und es fehlen Löschmechanismen in Anwendungen. Der Beitrag motiviert, Löschen als eine normale Anforderung zu verstehen, die bereits zu Beginn von Entwicklungsprojekten berücksichtigt werden soll. Entwickler sollten deshalb für die Fragestellung sensibilisiert sein. Löschprojekte können außerdem positive Wirkungen nach sich ziehen, die weit über die Datenschutz-Anforderungen hinausgehen. <br />
<br />
Um Löschregeln zu definieren, kann die Vorgehensweise der im September verabschiedeten DIN 66398 verwendet werden: Mit Hilfe von Standardfristen und Typen von Startzeitpunkten werden Löschklassen gebildet. Abgegrenzte Arten personenbezogener Daten können dann leicht in die Löschklassen eingeordnet werden. Daraus ergeben sich die Löschregeln mit je einem Startzeitpunkt und einer Regellöschfrist. <br />
<br />
Mechanismen zur Löschung können sehr unterschiedlich implementiert werden. Entwurfsentscheidungen sind z.B. abhängig vom Verarbeitungsprozess, der Einbettung des Systems in die IT-Landschaft oder Datenvolumen. Beispiele für Implementierungsansätze sind: <br />
<br />
* Transport-Files, Log-Files etc: dateibasiertes Löschen <br />
* Massendatenverarbeitung: partitionieren von Tabellen nach Zeitscheiben und „Drop Table“ <br />
* Datensätze in Datenbanken: (SQL-)Statements auf Tabellen <br />
* Attribut-Ebene: Überschreiben von Werten <br />
* Objektorientierte Ansätze z.B.: Die Klasse „kennt“ die Regellöschfrist; über weitere Attribute kann der Startzeitpunkt und ein „aussetzen-Flag“ gesetzt werden. Über Methoden könnten die löschfälligen Datensätze identifiziert und dann auch gelöscht werden. <br />
<br />
Allgemeine Anforderungen an Löschmechanismen: <br />
<br />
* Die Löschfrist sollte konfigurierbar sein <br />
* Der Mechanismus muss insgesamt ausgesetzt werden können. <br />
* Je nach Datenart kann es notwendig sein, einzelne Datenobjekte zeitweise aus der Löschung auszunehmen <br />
* Es sollte „sicher“ gelöscht werden. <br />
<br />
Die Vorgehensweise kann auch für nicht-personenbezogene Daten angewandt werden. Nutzen – neben der datenschutzgerechten Gestaltung von Prozessen – kann sich ergeben, weil <br />
<br />
* Geschäftsprozesse präzisiert werden <br />
* Systeme und IT-Prozesse entkoppelt werden <br />
* Vorgaben für die Datenhaltung getroffen werden <br />
* überflüssige Daten aufgeräumt und Redundanzen abgebaut werden. Dadurch sinken Kosten für den IT-Betrieb und für Migrationen. <br />
<br />
----<br />
<br />
''Sebastian Lekies and Ben Stock:'' '''Your Scripts in My Page - What Could Possibly Go Wrong?'''<br />
<br />
Viele moderne Webseiten generieren JavaScript code dynamisch zur Laufzeit. Dieser JavaScript Code enthält dabei häufig sensitive Benutzerdaten. Obwohl die Same-Origin Policy solche Daten vor Zugriffen Dritter schützt, können solche Scripte von anderen Webseiten eingebunden und zur Ausführung gebracht werden. Dies versetzt einen Angreifer in die Lage, eine sensitive JavaScript Datei zu laden und auszuführen während ein Opfer die Seite des Angreifers besucht. Indem der Angreifer die Seiteneffekte der Ausführung beobachtet, kann er auf die personenbezogenen Daten <br />
im Script zugreifen. <br />
<br />
Obwohl dieses Problem seit Jahren bekannt ist, wurden bisher weder Untersuchungen noch Schutzmaßnahmen egriffen. Um dieses Problem systematisch zu untersuchen präsentieren wir die Ergebnisse einer empirischen Studie. Dabei haben wir beobachtet, dass zirka ein Drittel aller untersuchten Webseiten, JavaScript Dateien dynamisch generiert und dass 80% dieser Seiten verwundbar gegen den gezeigten Angriff sind. Die gestohlenen Daten erlaubten es uns verschiedenste Angriffe durchzuführen. Die Spanne reichte von einfacher Deanonymisierung eines Web users bis hin zur kompletten Übernahme eines Benutzerkontos. <br />
<br />
----<br />
<br />
''Juraj Somorovsky:'' '''Practical Invalid Curve Attacks on TLS-ECDH'''<br />
<br />
In the recent years, we saw resurrection of many new cryptographic attacks and their application to TLS. Examples give famous attacks like CRIME, BEAST or Lucky13. In our work, we continue this line of research and analyze another forgotten attack: invalid curve attack. Originally published in 2000, the attack is very powerful and allows one to extract private elliptic curve keys from servers using Elliptic Curve Diffie Hellman (ECDH). We analyzed 8 cryptographic libraries and found out that two out of these libraries are vulnerable to these attacks: Java crypto provider and Bouncy Castle. <br />
<br />
----<br />
<br />
''Christian Dresen and Sebastian Schinzel:'' '''Webschwachstellen im Internet of Things'''<br />
<br />
Im Netz gibt es die verschiedensten Geräte, die IP sprechen, mit dem Internet verbunden sind und die teilweise haarsträubende Sicherheitslücken enthalten. Hierzu zählen unter anderem Router, Drucker, Telefone, Kameras, Fernseher und Handys. Der Softwareteil dieser Geräte steht meist als binäres proprietäres Firmware-Image auf den Hersteller-Webseiten zur Verfügung. Die meisten dieser Produkte können über eine Webschnittstelle konfiguriert werden, welche in den unterschiedlichsten Programmiersprachen, zum Beispiel C, lua, PHP oder Perl, geschrieben sind. Diese Webschnittstellen wurden meist unter völliger Missachtung jeglicher Best-Practices der OWASP-Richtlinien entwickelt.<br />
<br />
Wir stellen ein neues Werkzeug vor, mit dem wir mittlerweile 1000 Firmwares automatisiert auf Sicherheitsschwachstellen untersucht haben. Dabei wurden einige kritische (und teilweise kuriose) Sicherheitslücken zu Tage gebracht hat. In dieser Präsentation geben wir einen Überblick über das Werkzeug und die von uns gefundenen Webschwachstellen.<br />
<br />
----<br />
<br />
''Alexios Fakos:'' '''IT-Sicherheitsgesetz und mögliche Effekte für die Software-Industrie'''<br />
<br />
Allgemein bekannt ist, dass das verabschiedete IT-Sicherheitsgesetz in erster Linie Betreiber kritischer Infrastrukturen (KRITIS) betrifft. Diese werden zukünftig verpflichtet ein Mindestniveau an IT-Sicherheit einzuhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle zu melden.<br />
<br />
Weniger bekannt ist, dass das IT-Sicherheitsgesetz auch Hard- und Software-Hersteller betrifft.<br />
<br />
Der Vortrag fokussiert sich auf die Mitwirkungspflicht von Software-Hersteller hinsichtlich der Beseitigung von Sicherheitslücken und stellt denkbare Handlungsmöglichkeiten seitens Betreiber und Hersteller dar.<br />
<br />
----<br />
<br />
== Downloads ==<br />
<small>(Hier werden die Vorträge zu finden sein, sobald die Slides der Autoren vorliegen)</small><br />
<br />
<br />
[https://www.owasp.org/index.php?title=German_OWASP_Day_2015 <top>] [[German_OWASP_Day_2015|<zurück>]] [[Germany|<Germany>]]</div>Martinj