2016-03-07T08:59:08Z

Mateusz Olejarka:

= Home =
<div style="width:100%;height:90px;border:0,margin:0;overflow: hidden;">[[File: flagship_big.jpg|link=https://www.owasp.org/index.php/OWASP_Project_Stages#tab=Flagship_Projects]]</div>
{| style="padding: 0;margin:0;margin-top:10px;text-align:left;" |-
| valign="top" style="border-right: 1px dotted gray;padding-right:25px;" |

== What is ASVS? ==

The OWASP Application Security Verification Standard (ASVS) Project provides a basis for testing web application technical security controls and also provides developers with a list of requirements for secure development.

The primary aim of the '''OWASP Application Security Verification Standard (ASVS) Project''' is to normalize the range in the coverage and level of rigor available in the market when it comes to performing Web application security verification using a commercially-workable open standard. The standard provides a basis for testing application technical security controls, as well as any technical security controls in the environment, that are relied on to protect against vulnerabilities such as Cross-Site Scripting (XSS) and SQL injection. This standard can be used to establish a level of confidence in the security of Web applications. The requirements were developed with the following objectives in mind:

*'''Use as a metric''' - Provide application developers and application owners with a yardstick with which to assess the degree of trust that can be placed in their Web applications,
*'''Use as guidance''' - Provide guidance to security control developers as to what to build into security controls in order to satisfy application security requirements, and
*'''Use during procurement''' - Provide a basis for specifying application security verification requirements in contracts.

<paypal>ASVS</paypal>

| valign="top" style="padding-left:25px;width:200px;border-right: 1px dotted gray;padding-right:25px;" |

== Email List ==

[[Image:Asvs-bulb.jpg]] [https://lists.owasp.org/mailman/listinfo/owasp-application-security-verification-standard Project Email List]

== Project Leader ==

Daniel Cuthbert [mailto:Daniel.Cuthbert@owasp.org @] 
Andrew van der Stock [mailto:vanderaj@owasp.org @]

== Related Projects ==

[[Image:Asvs-satellite.jpg]]'''OWASP Resources'''

*[http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project OWASP Top Ten]
*[http://www.owasp.org/index.php/Category:OWASP_Guide_Project OWASP Development Guide]

| valign="top" style="padding-left:25px;width:200px;" |

== Quick Download ==

ASVS 3.0 in English. 
([[Media:OWASPApplicationSecurityVerificationStandard3.0.pdf|download PDF - 1.2 MB]])

== News and Events ==
* [9 Oct 2015] Version 3.0 released!
* [20 May 2015] "First Cut" Version 3.0 released!
* [11 Aug 2014] Version 2.0 released!
* [28 Mar 2014] List of contributors added
* [27 Mar 2014] New wiki template!

==Classifications==

{| width="200" cellpadding="2"
|-
| align="center" valign="top" width="50%" rowspan="2"| [[File:Owasp-flagship-trans-85.png|link=https://www.owasp.org/index.php/OWASP_Project_Stages#tab=Flagship_Projects]]
| align="center" valign="top" width="50%"| [[File:Owasp-builders-small.png|link=]]
|-
| align="center" valign="top" width="50%"| [[File:Owasp-defenders-small.png|link=]]
|-
| colspan="2" align="center" | [[File:Cc-button-y-sa-small.png|link=http://creativecommons.org/licenses/by-sa/3.0/]]
|-
| colspan="2" align="center" | [[File:Project_Type_Files_DOC.jpg|link=]]
|}

|}

= Downloads =

'''Application Security Verification Standard 3.0 '''

* ASVS 3.0 in English
([[Media:OWASPApplicationSecurityVerificationStandard3.0.pdf|download PDF - 1.2 MB]])

* ASVS 3.0 excel sheet
([[Media:ASVS-excel.xlsx|download XLSX - 39 kB]])

We are looking for translators for this version. If you can help us, please contact the project mail list!

'''Legacy Application Security Verification Standard 2.0 (final)'''

* ASVS 2.0 in English ([[Media:OWASP_ASVS_Version_2.pdf|download PDF - 1.6 MB]])
* ASVS 2.0 in English ([[Media:OWASP_ASVS_Version_2.docx|download Word - 1.0MB]])
* ASVS 2.0 in Persian ([[Media:OWASP_ASVS_Version_2_Persian.pdf|download PDF - 1.6MB]])
* ASVS 2.0 in Polish (checklist) ([[Media:Asvs_2_PL.xlsx|download Excel]])

= Acknowledgements =

== Volunteers ==

=== Version 3 (2015) ===

Project Leaders

*Daniel Cuthbert
*Andrew van der Stock

Lead Author
*Jim Manico

Other reviewers and contributors
*Boy Baukema
*Ari Kesäniemi
*Colin Watson
*François-Eric Guyomarc’h
*Cristinel Dumitru
*James Holland
*Gary Robinson
*Stephen de Vries
*Glenn Ten Cate
*Riccardo Ten Cate
*Martin Knobloch
*Abhinav Sejpal
*David Ryan
*Steven van der Baan
*Ryan Dewhurst
*Raoul Endres
*Roberto Martelloni

=== Version 2 (2014) ===

Project leaders
*Sahba Kazerooni
*Daniel Cuthbert

Lead authors
*Andrew van der Stock
*Sahba Kazerooni
*Daniel Cuthbert
*Krishna Raja

Other reviewers and contributors
*Jerome Athias
*Boy Baukema
*Archangel Cuison
*Sebastien.Deleersnyder
*Antonio Fontes
*Evan Gaustad
*Safuat Hamdy
*Ari Kesäniemi
*Scott Luc
*Jim Manico
*Mait Peekma
*Pekka Sillanpää
*Jeff Sergeant
*Etienne Stalmans
*Colin Watson
*Dr. Emin İslam Tatlı

Translators
*Abbas Javan Jafari (Persian)
*Sajjad Pourali (Persian)

=== Version 2009 ===

Project leader
*Mike Boberski

Lead authors
*Mike Boberski
*Jeff Williams
*Dave Wichers

Other reviewers and contributors

Pierre Parrend (OWASP Summer of Code), Andrew van der Stock, Nam Nguyen, John Martin, Gaurang Shah, Theodore Winograd, Stan Wisseman, Barry Boyd, Steve Coyle, Paul Douthit, Ken Huang, Dave Hausladen, Mandeep Khera Scott Matsumoto, John Steven, Stephen de Vries, Dan Cornell, Shouvik Bardhan, Dr. Sarbari Gupta, Eoin Keary, Richard Campbell, Matt Presson, Jeff LoSapio, Liz Fong, George Lawless, Dave van Stein, Terrie Diaz, Ketan Dilipkumar Vyas, Bedirhan Urgun, Dr. Thomas Braun, Colin Watson, Jeremiah Grossman.

== OWASP Summer of Code 2008 ==

The OWASP Foundation sponsored the OWASP Application Security Verification Standard Project during the OWASP Summer of Code 2008.

= Glossary =

[[Image:Asvs-letters.jpg]]'''ASVS Terminology'''

*'''Access Control''' – A means of restricting access to files, referenced functions, URLs, and data based on the identity of users and/or groups to which they belong.
*'''Application Component''' – An individual or group of source files, libraries, and/or executables, as defined by the verifier for a particular application.
*'''Application Security''' – Application-level security focuses on the analysis of components that comprise the application layer of the Open Systems Interconnection Reference Model (OSI Model), rather than focusing on for example the underlying operating system or connected networks.
*'''Application Security Verification''' – The technical assessment of an application against the OWASP ASVS.
*'''Application Security Verification Report''' – A report that documents the overall results and supporting analysis produced by the verifier for a particular application.
*'''Application Security Verification Standard (ASVS)''' – An OWASP standard that defines four levels of application security verification for applications.
*'''Authentication''' – The verification of the claimed identity of an application user.
*'''Automated Verification''' – The use of automated tools (either dynamic analysis tools, static analysis tools, or both) that use vulnerability signatures to find problems.
*'''Back Doors''' – A type of malicious code that allows unauthorized access to an application.
*'''Blacklist''' – A list of data or operations that are not permitted, for example a list of characters that are not allowed as input.
*'''Common Criteria (CC)''' – A multipart standard that can be used as the basis for the verification of the design and implementation of security controls in IT products.
*'''Communication Security''' – The protection of application data when it is transmitted between application components, between clients and servers, and between external systems and the application.
*'''Design Verification''' – The technical assessment of the security architecture of an application.
*'''Internal Verification''' – The technical assessment of specific aspects of the security architecture of an application as defined in the OWASP ASVS.
*'''Cryptographic module''' – Hardware, software, and/or firmware that implements cryptographic algorithms and/or generates cryptographic keys.
*'''Denial of Service (DOS) Attacks''' – The flooding of an application with more requests than it can handle.
*'''Dynamic Verification''' – The use of automated tools that use vulnerability signatures to find problems during the execution of an application.
*'''Easter Eggs''' – A type of malicious code that does not run until a specific user input event occurs.
*'''External Systems''' – A server-side application or service that is not part of the application.
*'''FIPS 140-2''' – A standard that can be used as the basis for the verification of the design and implementation of cryptographic modules
*'''Input Validation''' – The canonicalization and validation of untrusted user input.
*'''Malicious Code''' – Code introduced into an application during its development unbeknownst to the application owner which circumvents the application’s intended security policy. Not the same as malware such as a virus or worm!
*'''Malware''' – Executable code that is introduced into an application during runtime without the knowledge of the application user or administrator.
*'''Open Web Application Security Project (OWASP)''' – The Open Web Application Security Project (OWASP) is a worldwide free and open community focused on improving the security of application software. Our mission is to make application security "visible," so that people and organizations can make informed decisions about application security risks. See: http://www.owasp.org/
*'''Output Validation''' – The canonicalization and validation of application output to Web browsers and to external systems.
*'''OWASP Enterprise Security API (ESAPI)''' – A free and open collection of all the security methods that developers need to build secure Web applications. See: http://www.owasp.org/index.php/ESAPI
*'''OWASP Risk Rating Methodology''' – A risk rating methodology that has been customized for application security. See: http://www.owasp.org/index.php/How_to_value_the_real_risk
*'''OWASP Testing Guide''' – A document designed to help organizations understand what comprises a testing program, and to help them identify the steps needed to build and operate that testing program. See: http://www.owasp.org/index.php/Category:OWASP_Testing_Project
*'''OWASP Top Ten''' – A document that represents a broad consensus about what the most critical Web application security flaws are. See: http://www.owasp.org/index.php/Top10
*'''Positive''' – See whitelist.
*'''Salami Attack''' – A type of malicious code that is used to redirect small amounts of money without detection in financial transactions.
*'''Security Architecture''' – An abstraction of an application’s design that identifies and describes where and how security controls are used, and also identifies and describes the location and sensitivity of both user and application data.
*'''Security Control''' – A function or component that performs a security check (e.g. an access control check) or when called results in a security effect (e.g. generating an audit record).
*'''Security Configuration''' – The runtime configuration of an application that affects how security controls are used.
*'''Static Verification''' – The use of automated tools that use vulnerability signatures to find problems in application source code.
*'''Target of Verification (TOV)''' – If you are performing an application security verification according to the OWASP ASVS requirements, the verification will be of a particular application. This application is called the "Target of Verification" or simply the TOV.
*'''Threat Modeling''' - A technique consisting of developing increasingly refined security architectures to identify threat agents, security zones, security controls, and important technical and business assets.
*'''Time Bomb''' – A type of malicious code that does not run until a preconfigured time or date elapses.
*'''Verifier''' - The person or team that is reviewing an application against the OWASP ASVS requirements.
*'''Whitelist''' – A list of permitted data or operations, for example a list of characters that are allowed to perform input validation.

= ASVS Users =
[[Image:Asvs-handshake.JPG]]

A broad range of companies and agencies around the globe have added ASVS to their software assurance tool boxes, including [http://www.aspectsecurity.com Aspect Security], [http://www.astyran.com Astyran], [http://www.boozallen.com Booz Allen Hamilton], [http://casabasecurity.com Casaba Security], [http://www.cgi.com/web/en/industries/governments/us_federal/services_solutions.htm CGI Federal], [http://denimgroup.com Denim Group], [http://etebaran.com Etebaran Informatics], [http://www.mindedsecurity.com Minded Security], [http://www.nixu.com Nixu], [http://www.pstestware.com/ ps_testware], [http://www.proactiverisk.com Proactive Risk], [http://quince.co.uk Quince Associates Limited (SeeMyData)], [http://www.serpro.gov.br/ Serviço Federal de Processamento de Dados (SERPRO)], [http://www.udistrital.edu.co/ Universidad Distrital Francisco José de Caldas] Organizations listed are not accredited by OWASP. Neither their products or services have been endorsed by OWASP. Use of ASVS may include for example providing verification services using the standard. Use of ASVS may also include for example performing internal evaluation of products with the OWASP ASVS in mind, and NOT making any claims of meeting any given level in the standard. Please let us know how your organization is using OWASP ASVS. Include your name, organization's name, and brief description of how you use the standard. The project lead can be reached [mailto:sahba@securitycompass.com here].

= Precedents-Interpretations =

'''PI-0001: Are there levels between the levels?'''

*Issue: Are there levels between the levels for the cases where "The specification for an application may require OWASP ASVS Level N, but it could also include other additional detailed requirements such as from a higher ASVS level"?
*Resolution: No. Use of alternate level definitions or notations such as "ASVS Level 1B+" is discouraged.
*References: ASVS section "Application Security Verification Levels"

'''PI-0002: Is use of a master key simply another level of indirection?'''

*Issue: If a master key is stored as plaintext, isn't using a master key simply another level of indirection?
*Resolution: No. There is a strong rationale for having a "master key" stored in a secure location that is used to encrypt all other secrets. In many applications, there are lots of secrets stored in many different locations. This greatly increases the likelihood that one of them will be compromised. Having a single master key makes managing the protection considerably simpler and is not simply a level of indirection.
*References: ASVS verification requirement V2.14

'''PI-0003: What is a "TOV" or "Target of Verification"?'''

*Issue: New terminology
*Resolution: If you are performing an application security verification according to ASVS, the verification will be of a particular application. This application is called the "Target of Verification" or simply the TOV. The TOV should be identified in verification documentation as follows:
**TOV Identification – <name and version of the application> or <Application name>, <application version>, dynamic testing was performed in a staging environment, not the production environment
**TOV Developer – <insert name of the developer or verification customer>
*References: ASVS section "Approach"

= Internationalization =

[[Image:Asvs-writing.JPG]]
If you can help with translations, please download the latest draft here:

https://github.com/OWASP/ASVS

If there are any incomprehensible English idiom or phrases in there, please don't hesitate to ask for clarification, because if it's hard to translate, it's almost certainly wrong in English as well. We recommend logging translation issues in GitHub, too, so please make yourself known.

Translations are coordinated through OWASP's Crowd In account, so you don't have to do the entire thing yourself.

https://crowdin.com/project/owasp-asvs/

You don't HAVE to use Crowd In, but it would be nice to indicate to other native speakers of your language that you are willing to work together. This is a 70 page document, and in all honesty, will take a dedicated person a week or more to translate, so please please please work together rather than apart. You have full access to the original document and the original images, so you have everything I have.

= Archive - Previous Version =

'''*Please note that ASVS is currently on version 3.0. The information on this page is for archival purposes only.*'''

[[Image:Asvs-step1.jpg]]'1. About ASVS 1.0'

*Video presentation in English [https://www.youtube.com/watch?v=Ba6ncpIfaJA (YouTube)]
*ASVS vs. WASC et al [http://www.owasp.org/index.php/ASVS_vs_WASC_Et_Al (Wiki)]

[[Image:Asvs-step2.jpg]]'2. Get ASVS 1.0'

*ASVS in Bahasa Indonesia (Indonesian language) ([http://owasp-asvs.googlecode.com/files/asvs-webapp-release-2009-id.pdf PDF])
*ASVS in Bahasa Malaysia (Malay) (Currently under development!)
*ASVS in Chinese(Currently under development!)
*ASVS in English ([http://www.owasp.org/images/4/4e/OWASP_ASVS_2009_Web_App_Std_Release.pdf PDF], [http://www.owasp.org/images/3/35/OWASP_ASVS_2009_Web_App_Std_Release.doc Word], [http://code.google.com/p/owasp-asvs/wiki/ASVS '''Online'''], [http://owasp-asvs.googlecode.com/svn/trunk/documentation/asvs-xml.zip XML])
*ASVS in French ([http://owasp-asvs.googlecode.com/svn/trunk/documentation/asvs-webapp-release-2009-fr.pdf PDF], [http://owasp-asvs.googlecode.com/svn/trunk/documentation/asvs-webapp-release-2009-fr.odt OpenOffice])
*ASVS in German ([http://owasp-asvs.googlecode.com/svn/trunk/documentation/asvs-webapp-release-2009-de.pdf PDF], [http://owasp-asvs.googlecode.com/svn/trunk/documentation/asvs-webapp-release-2009-de.doc Word])
*ASVS in Hungarian (Currently under development!)
*ASVS in Japanese ([http://owasp-asvs.googlecode.com/svn/trunk/documentation/asvs-webapp-release-2009-jp.pdf PDF], [http://owasp-asvs.googlecode.com/svn/trunk/documentation/asvs-webapp-release-2009-jp.doc Word])
*ASVS in Persian (Farsi) ([http://abiusx.com/archive/document/OWASP-ASVS-fa-20111115.pdf PDF]) beta 0.7
*ASVS in Polish ([http://owasp-asvs.googlecode.com/files/asvs-webapp-release-2009-pl.pdf PDF])
*ASVS in Portuguese-Brazil ([http://owasp-asvs.googlecode.com/files/asvs-webapp-release-2009-pt-br.pdf PDF])
*ASVS in Spanish (Currently under development!)
*ASVS in Thai (Currently under development!)

[[Image:Asvs-step3.jpg]]'3. Learn ASVS 1.0'

*ASVS Article: Getting Started Using ASVS ([http://www.owasp.org/images/f/f8/OWASP_ASVS_Article_-_Getting_Started_Using_ASVS.pdf PDF])
*ASVS Article: Code Reviews and Other Verification Activities: USELESS Unless Acted Upon IMMEDIATELY [http://www.owasp.org/index.php/Code_Reviews_and_Other_Verification_Activities:_USELESS_Unless_Acted_Upon_IMMEDIATELY (Wiki)]
*ASVS Article: Agile Software Development: Don't Forget EVIL User Stories ([http://www.owasp.org/index.php/Agile_Software_Development:_Don%27t_Forget_EVIL_User_Stories Wiki])
*ASVS Article: Man vs. Code ([http://www.owasp.org/index.php/Man_vs._Code Wiki])
*ASVS Article: Getting started designing for a level of assurance ([http://www.owasp.org/images/0/01/Getting_started_designing_for_a_level_of_assurance.pdf PDF])
*ASVS Template: Sample verification fee schedule template ([http://www.owasp.org/index.php/Image:Sample_ASVS_Fee_Schedule_Template.xls Excel])
*ASVS Template: Sample verification report template ([http://www.owasp.org/index.php/Image:Sample_ASVS_Report_Template.doc Word])
*ASVS Training: An ASVS training presentation ([http://www.owasp.org/index.php/Image:OWASP_AU_Secure_Architecture_and_Coding.ppt PowerPoint])
*ASVS Presentation: Executive-Level Presentation ([http://www.owasp.org/images/9/99/About_OWASP_ASVS_Executive_Presentation.ppt PowerPoint])
*ASVS Presentation: Presentation Abstract ([http://www.owasp.org/images/1/10/OWASP_ASVS_Presentation_Abstract.doc Word])
*Articles [http://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project#Articles_Below_-_More_About_ASVS_and_Using_It (More About ASVS and Using It)]

__NOTOC__ <headertabs />

[[Category:OWASP_Project|Application Security Verification Standard Project]]
[[Category:OWASP_Document]]
[[Category:OWASP_Download]]
[[Category:OWASP_Release_Quality_Document|OWASP Stable Quality Document]]
[[Category:SAMM-CR-1]]
[[Category:SAMM-DR-2]]
[[Category:SAMM-ST-3]]

2015-09-26T14:36:15Z

Mateusz Olejarka:

==== Welcome ====

{{Chapter Template|chaptername=Poland|extra=The original Polish Chapter was founded in June 2007 by Andrzej Targosz and Robert Pajak. The chapter leader is [mailto:wojciech.dworakowski@owasp.org Wojciech Dworakowski] (since 2011). Acting Chapter Board members are (since 2011): [mailto:michal.kurek@owasp.org Michal Kurek], [mailto:marek.zmyslowski@owasp.org Marek Zmyslowski], [mailto:tomasz.polanski@owasp.org Tomasz Polanski], [mailto:mateusz.olejarka@owasp.org Mateusz Olejarka], [https://plus.google.com/+PawełKrawczyk/ Paweł Krawczyk] (till September 2013), since 2015: [mailto:alexander.antukh@owasp.org Alexander Antukh].

If you have any questions about previous activities (2009-2011) do not hesitate to contact [mailto:przemyslaw.skowron@owasp.org Przemyslaw Skowron] 
If you have any questions about previous activities (2007-2009) do not hesitate to contact [mailto:andrzej.targosz@proidea.org.pl Andrzej Targosz] 
<paypal>Poland</paypal>
|mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-poland|emailarchives=http://lists.owasp.org/pipermail/owasp-poland}}

OWASP Poland on social networks:

* [http://www.eventbrite.com/org/1804236865?s=8372433 EventBrite]
* [http://www.meetup.com/owasp-poland/ Meetup] as primary schedule tool
* [https://www.facebook.com/pages/OWASP-Poland-Local-Chapter/180398958660633 Facebook]
* [https://twitter.com/owasppoland Twitter]
* [https://www.linkedin.com/groups/OWASP-Poland-8179731 Linkedin]
* [https://plus.google.com/113312187164653734511/posts Google+] (oraz [https://www.google.com/calendar/embed?src=nl0qd7s4dhnt3f4hdb8p5t3rsk%40group.calendar.google.com&ctz=Europe/Warsaw Google Calendar])
* [https://www.youtube.com/channel/UCIX0PGPamwsYSWxTB9luBvg YouTube channel]

==Chapter Supporters==
OWASP Poland thanks its Chapter Supporters: 
[[Image:allegro-group.jpg |upright=0.5| link=http://allegro.pl/country_pages/1/0/marketing/about.php]] - Gold Chapter Supporter. 
[[Image:Qualys_logo.png |upright=0.5|150px| link=http://www.qualys.com]] - Silver Chapter Supporter, 
[[Image:LP_logo.jpg |upright=0.5| link=http://linuxpolska.pl]] - Silver Chapter Supporter, 
[[Image:Securing_logo_cmyk_150.png |upright=0.5| link=http://www.securing.pl]] - Silver Chapter Supporter. 
If your company wishes to support our chapter, please contact [mailto:wojciech.dworakowski@owasp.org Wojciech Dworakowski] (terms and conditions: https://www.owasp.org/index.php/Membership). 

=Current events=

==OWASP Krakow Event (OWASP EEE) 6.10.2015==

[[File:Owasp_eee.jpg|left|alt=Owasp_eee.jpg|150px]]

We would like to accounce OWASP Krakow Event which is a part of global OWASP Eastern European Event (EEE). The local Krakow event will take place on 6th October.

More details about this event [https://www.owasp.org/index.php/OWASP_EEE_Krakow_Event_2015 '''here.'''].

'''CFP''' [https://docs.google.com/a/owasp.org/forms/d/1vvlf8THhK3Pmx2z-L5o9SK2mb75cdqRRnlZpTn_uvNQ/viewform '''here.''']

Global event page is [http://owaspeee.appsec.xyz '''here.''']

Follow us on [https://twitter.com/owasp_eee '''Twitter.''']

==OWASP Warszawa 13.10.2015==

Spotkanie OWASP w Warszawie będzie dedykowane problematyce bezpieczeństwa systemów wbudowanych i Internetowi rzeczy (IoT).
Data i miejsce spotkania: '''13 października 2015, 18:00-20:00'''

EY
Rondo ONZ 1, Warszawa
Sala: 14-40 (piętro 14)

Uczestnictwo w spotkaniu jest bezpłatne. Prośba o rejestrację na stronie EventBrite, z uwagi na ograniczoną liczbę miejsc:

http://www.eventbrite.com/e/owasp-poland-warszawa-13-pazdziernika-2015-registration-18791952235

'''Agenda:'''

18:00 - 18:15 - '''Meeting opening, OWASP news'''

18:15 - 19:00 - '''Secure IoT - Myth or the necessity''' - Marcin Strzałek, Consultant, EY

Internet of Things is not only a catchy slogan, but a real trend of connecting to public networks multiple Things like fridges, bulbs, home cameras, baby monitors, lockers and even sniper rifles. All of these devices have one common feature – lack of consistent security measures, that allows attackers to disclose or tamper sensitive private data. During presentation we will describe most interesting security vulnerabilities identified in different Things, typical issues and same simple solutions as well as challenges and differences in IoT security comparing with standard web / mobile security.

Marcin is a Consultant within EY’s IT Risk and Assurance division specializing in information technology systems security audits, especially in the field of mobile application penetration testing, reverse engineering malware and source code review. He graduated from Warsaw University of Technology in Warsaw and obtained Bachelor of Science Degree in Computer Science. Currently he holds following certificates: GIAC Reverse Engineering Malware (GREM), Certified Information Systems Auditor (CISA), ISTQB Certified Tester Foundation Level.

19:00 - 19:45 - '''Towards the WWW of Things? Give me a ReST! Securing Communications Protocols in the IoT''' - David Fuhr, NTITY

While in the world of automation a large number of proprietary and/or insecure communications protocols are still being used, modern web-like protocols and approaches like ReST and SOA are trying to become the standard to network “Everything”. In this talk, two of the most promising candidates – OPC UA and MTConnect – will be presented and their different security models compared, weaknesses explained. This provides valuable insight for developers as well as auditors of IoT applications.

David Fuhr is a security researcher based in Warsaw, Poland. A trained mathematician, he has specialized in cryptography, network and cloud security. He loves to analyze not only protocols but likewise technical standards. David is the founder of NTITY [www.ntity.de], a Berlin, Germany based advanced cyber security consultancy. He has a strong track record of technical audits and risk assessments of ICS (Industrial Control Systems) and automation technology with a focus on critical infrastructures and works internationally as a trainer, coach, instructor, and presenter.

=Past Events=

==2015==

==OWASP Kraków 10.09.2015 ==

On 10. september at 6 p.m. we meet in Tech Space (Wyczółkowskiego 7 street) in Kraków. Both talks will be in English.

'''Agenda:'''

18 00 - 18 15 Intro, [https://www.owasp.org/index.php/File:Owasp_meeting_10092015.pptx slides here]

18 15 - 19 00 '''From bug to Metasploit module''', Ewerson (Crash) Guimaraes, EPAM

The Local File Incluison, privilege escalation, CSRF and command execution are old bugs, but still present in
applications available over internet.

Over the past two years were about 300 publications related to this bugs in applications that can be downloaded and easily installed on a server exposed in internet.

These statistics not include institutional sites and systems that are developed specifically internally or to a particular customer, that is, there are hundreds of thousands of vulnerable systems.

This talk will show a effective way to exploit this flaws and furthermore, show the way to better understanding and explore the bugs effectively and how to create a Metasploit module/exploit.

19 00 - 19 15 Break

19 15 - 20 00 '''Google bug bounty - is it worth it or just a waste of time?''', Michał Bentkowski, securitum.pl, [https://www.owasp.org/index.php/File:Google_bounty.pdf slides here]

In the presentation I will talk about my two year adventures with Google’s bug bounty programme. I will share my general feeling about organisational issues like: communication or payments, but most importantly I will show a few specific bugs I have submitted. These will particuarly include some unusual XSS bugs, exploiting quirks in both browsers and web servers.

20 00 - ... Outro

'''Registration''':
https://www.eventbrite.com/e/owasp-meeting-10092015-tickets-18296621688

==DevOps + OWASP Kraków 18.03.2015==

Zapraszamy na spotkanie zorganizowane wspólnie z [http://www.meetup.com/Krakow-DevOps Kraków DevOps]. Start 18 marca 2015, godzina 18:00, w Tech Space ([http://maps.google.com/maps?f=q&hl=en&q=Leona+Wycz%C3%B3%C5%82kowskiego+7%2C+Krak%C3%B3w%2C+pl Leona Wyczółkowskiego 7], ).

'''Agenda''':

18:00 - 18:15 / Przywitanie

18:15 - 19:15 / Monitoring @ scale

19:15 - 19:45 / Social (aka piwo+pizza)

19:45 - 20:15 / [https://www.owasp.org/images/d/df/Owasp_plus_devops.pptx OWASP + DevOps - kilka przydatnych narzędzi ]

20:15 - 22:00 / Social (aka piwo+pizza)

'''Prezentacje''':

'''Monitoring @ scale''' (Sławomir Skowron)

Sławek opowie o tym jak był budowany i jak ewoluował, aby stać się skalowalnym i wydajnym (5 mln metryk na minutę) systemem zbierania pomiarów z każdego komponentu infrastruktury w zmiennym środowisku chmury AWS.

'''OWASP + DevOps''' (Mateusz Olejarka)

W trakcie prezentacji zostaną pokrótce przedstawione projekty OWASP, które mogą przydać się zwłaszcza w modelu continious delivery. W projektach takich szczególnie ważne jest dostarczenie programistom właściwych narzędzi, które pozwolą na lepsze zintegrowanie cech bezpieczeństwa z aplikacją. Omówione zostaną między innymi:
ESAPI - to biblioteka, która ułatwia pisanie bardziej bezpiecznych aplikacji lub wprowadzanie zabezpieczeń do istniejących aplikacji.
AppSensor - to koncepcja i referencyjna implementacja narzędzi, które pozwalają na wykrywanie i odpowiadanie na ataki z poziomu aplikacji.

'''REJESTRACJA''': http://www.meetup.com/Krakow-DevOps/events/220965784/

==SEMAFOR==

Już po raz ósmy stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum Bezpieczeństwa i Audytu IT, która odbędzie się w Warszawie w dniach 26 i 27 marca 2015 roku.

Konferencja SEMAFOR jest jednym z najważniejszych wydarzeń związanych ze światem bezpieczeństwa informacji i audytu IT w Polsce. W tym roku pod hasłem "Nowa odsłona bezpieczeństwa informacji i audytu IT" skoncentrujemy się wokół praktycznych zagdanień z obszaru audytu IT, technicznych i zarządczych aspektów bezpieczeństwa informacji, wyzwaniami związanymi z regulacjami prawnymi i IT Governance.

W tym roku pod hasłem „Nowa odsłona bezpieczeństwa informacji i audytu IT” skoncentrujemy się wokół praktycznych zagadnień z obszaru audytu IT, technicznych i zarządczych aspektów bezpieczeństwa informacji, wyzwaniach związanych z regulacjami prawnymi i IT Governance.

Na program konferencji złożą się 3 ścieżki merytoryczne:

* Audyt IT, ścieżka poświęcona wymaganiom audytu IT w zmieniającym się świecie IT, wyzwaniom stojącym przed IT Governace, itp.
* Zarządzanie bezpieczeństwem informacji - poświęcona zarządzaniem bezpieczeństwem informacji i ryzykiem operacyjnym, wyzwaniami regulacyjnymi, ochroną danych osobowych i prywatności, jak również ciągłości działania. Chcielibyśmy omówić także miękkie aspekty pracy w bezpieczeństwie informacji.
* Techniczne aspekty bezpieczeństwa informacji, w której prowadzone będą prelekcje bardziej techniczne poświęcone cyberbezpieczeństwu, zagrożeniom, atakom, informatyce śledczej, a także zabezpieczeniom aplikacji, infrastruktury IT w tym infrastruktury krytycznej, bezpieczeństwie w rozwoju aplikacji, itp.

Dla członków OWASP zniżka od cen na stronie to dodatkowe 10%.

Strona konferencji: http://www.computerworld.pl/konferencja/semafor2015

==2014==

==OWASP Poznań 2.12.2014==

Serdecznie zapraszam na kolejne spotkanie OWASP w Poznaniu, które odbędzie się '''2 grudnia (16:00-18:00)'''.

Spotkanie odbędzie się w '''Centrum Kongresowe i Hotel IOR ul. Węgorka 20'''

'''Agenda''':

16:00 - 16:10 - Otwarcie spotkania, aktualności OWASP Polska

16:15 - 17:00 - [https://www.owasp.org/images/d/d9/Prezentacja-owasp-2014.pdf '''Phishing - Atak i obrona - Dawid Golak (Allegro.pl)''']

17:05 - 18:00 - [https://www.owasp.org/images/a/ac/Marek_Zachara-raport.pdf '''Modelowanie zachowań użytkowników serwisów internetowych w celu identyfikacji prób ataku (dr Marek Zachara, AGH)''']

'''Rejestracja''': [http://www.eventbrite.com/e/spotkanie-owasp-poznan-02122014-tickets-14441774737 tutaj.]

==OWASP Warszawa 19.11.2014==

Spotkanie OWASP w Warszawie odbędzie się 19.11.2014 w Centrum Sztuki Fort Sokolnickiego ul. Stefana Czarnieckiego 51, start godzina 17:30.

'''Agenda:'''

17:30 - 17:45 - Otwarcie spotkania, aktualności OWASP Polska

17:45 - 18:15 - [https://www.owasp.org/images/9/93/Application_Security_Verification_Standard.pdf '''OWASP ASVS 2.0 (Application Security Verification Standard)'''] - Wojciech Dworakowski, OWASP Poland Chapter Leader, Securing

Prezentacja ma na celu przedstawienie standardu weryfikacji bezpieczeństwa aplikacji ASVS (Application Security Verification Standard). Standard ten można stosować już na etapie definiowania wymagań w celu ustalenia wymagań dotyczących zabezpieczeń (również niefunkcjonalnych). Na etapie weryfikacji umożliwia on sprawdzenie czy są stosowane zasady dobrej praktyki i pozwala audytorowi na wypowiedzenie się o tym co jest poprawne a nie tylko na koncentrowanie się na błędach, jak to ma miejsce przy nieustandaryzowanych testach bezpieczeństwa. Warto podkreślić, że ASVS ma formę listy kontrolnej podzielonej na poziomy w zależności od ryzyka, w związku z tym zakres weryfikacji może być dobrany adekwatnie do specyfiki aplikacji.

Standard ten został stworzony w roku 2009 roku w ramach projektu OWASP (Open Web Application Security Project) i został przetłumaczony na kilkanaście języków, w tym polski. W tym roku ukazała się aktualizacja standardu ASVS i na tej nowej wersji będzie skupiona prezentacja.

18:15 - 18:45 - [https://www.owasp.org/index.php/File:Jakub_Botwicz_-_Prezentacja_OWASP_-_2014-11-19.pdf '''Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach?''' - Jakub Botwicz, EY Advanced Security Center]

W prezentacji zostanie przedstawiony przegląd technik i narzędzi pozwalających identyfikować podatności bezpieczeństwa w aplikacjach, wraz z dyskusją na temat specyfiki poszczególnych metod.

18:45 - 19:00 - Kwestie dodatkowe, zamknięcie spotkania

'''Rejestracja''' [http://www.eventbrite.com/e/owasp-poland-warszawa-19-listopada-2014-tickets-14188561369?aff=wiki tutaj.]

==OWASP Kraków 21.10.2014==

Zapraszamy na kolejne spotkanie poświęcone bezpieczeństwu aplikacji. Tym razem będzie nas gościć '''Akademia Górniczo Hutnicza''' w Krakowie (pawilon '''C-2''', sala '''224'''). Start '''18:00'''.

W programie dwa wykłady dotyczące badań nad bezpieczeństwem aplikacji. Obydwa tematy miały niedawno premierę na międzynarodowych konferencjach - "AppSec Research" w Cambridge i "International Conference on Computational Collective Intelligence Technologies and Applications" w Seulu. Udało nam się namówić prelegentów na zaprezentowanie tych badań na naszym spotkaniu.

Ponadto chcemy podyskutować o karierze w bezpieczeństwie informacji a konkretnie o certyfikatych zawodowych. Pojawi się również nowy stały element naszych spotkań - '''"Giełda Pracy"''' czyli czas kiedy potencjalni pracodawcy będą mogli krótko zaprezentować swoją ofertę pracy lub staży. Pracodawcy, którzy skorzystać z tej okazji, proszeni są o wcześniejszy kontakt z Wojciechem Dworakowskim (wojciech.dworakowski@owasp.org). Czas na pojedynczą prezentację pracodawcy - 3 min.

'''Program:'''

1. [https://www.owasp.org/images/a/ac/Marek_Zachara-raport.pdf '''Modelowanie zachowań użytkowników serwisów internetowych w celu identyfikacji prób ataku (dr Marek Zachara, AGH)''']

Przedstawienie wyników projektu badawczego nakierowanego na automatyczne tworzenie profilu zachowań użytkowników serwisu internetowego, tu w rozumieniu przejść pomiędzy stronami (page flow). Reprezentacja grafowa takich przejść pozwala z jednej strony poradzić sobie z dużą ilością danych (przechowywanych w jednym grafie), z drugiej identyfikować nietypowe przejścia. Dzięki temu można identyfikować próby ataku np. typu 'forceful browsing', próby identyfikowania standardowych modułów administracyjnych (np. 'phpmyadmin') itp. Dużą zaletą tego rozwiązania jest brak konieczności konfiguracji i utrzymywania tego systemu ochrony - dostosowuje się on 'na bieżąco' do istniejącej aplikacji internetowej.

2. [https://www.owasp.org/images/f/f9/Przechwytywanie_ruchu_w_niestandardowych_protoko%C5%82ach_sieciowych_JK.pdf '''Przechwytywanie ruchu w niestandardowych protokołach sieciowych (Jakub Kałużny, SecuRing)''']

Istnieje mnóstwo narzędzi umożliwiających przechwytywanie ruchu HTTP/HTTPS, co świetnie się sprawdza podczas testowania aplikacji webowych oraz mobilnych. Jednak podczas testów penetracyjnych specjalizowanego oprogramowania "embedded" lub "grubego klienta" często spotykamy się z nieznanymi i nieudokumentowanymi protokołami sieciowymi. Takiej warstwy pośredniczącej nie da się obsłużyć za pomocą szeroko dostępnych narzędzi "local proxy", a bez zrozumienia i rozłożenia protokołu na czynniki pierwsze, testowanie "backendu" jest bardzo ograniczone. Z naszego doświadczenia wynika, że pod przykrywką nieznanego protokołu, stanowiącego zabezpieczenie typu "security by obscurity", często znajdują się kompletnie niezabezpieczone mechanizmy łamiące wszelkie zasady dotyczące bezpiecznego programowania.

3. '''Certyfikaty zawodowe dotyczące bezpieczeństwa IT/aplikacji - Czy warto? (otwarta dyskusja)'''

CISSP, CISM, OSCP, OSCE, eCCPT, Sec+, itp. itd. Co wybrać? Czy warto inwestować czas i pieniądze? Proponujemy kontynuacje dyskusji, która wywiązała się na grupie Linkedin OWASP Poland. Zapraszamy zarówno tych którzy zastanawiają się nad wyborem ścieżki zawodowej, tych którzy już zaczęli ale myślą czy warto inwestować w certyfikaty zawodowe, tych którzy już zdobyli któreś z certyfikatów i zechcieliby podzielić się swoimi doświadczeniami, jak i pracodawców.

'''Rejestracja''' [http://www.eventbrite.com/e/spotkanie-owasp-poland-krakow-2014-10-21-tickets-13551435709?aff=wiki tutaj.]

==OWASP Kraków 26.05.2014==

We would like to invite You to the next OWASP meeting. It will take place on 26. May, and will be joined with CONFidence conference (http://2014.confidence.org.pl/pl/) before party. Therefore You could expect multinational company and a few conference speakers present as well. Both presentations will be in English.

Place: Barka Augusta (barge Augusta on Wisła river, near Podgórska street, http://www.restauracjaaugusta.pl/)

'''Program:'''
* 19.00-19.15 OWASP News
* 19.15-19.45 [https://www.owasp.org/images/6/64/Owasp_prez.pdf '''Security in continuous delivery environment''', Jakub Nawalaniec, Base CRM]

The presentation will cover topics related to developing secure SOA applications in Continuous Delivery environment, based on my experiences from Base CRM.
I will begin exploring the topic by describing formal and technical aspects of software development in Base. I will showcase how we are dealing with typical SOA related security problems and our technical solutions that help to us to mitigate most common risks.
Next I will outline the dangers of Continuous Delivery in SOA environment. I will describe both technical and organizational efforts to improve security in such environment.

* 19.45-20.00 short break
* 20.00-20.40 [https://prezi.com/pbayctxyq9ya/bdd-security-owasp-poland-edition/ '''BDD Security - Automated security testing based on BDD''', Krystian Piwowarczyk, Rule Financial]

Software development life-cycle is getting more and more automated.
Continuous integration has become the standard nowadays. Continuous deployment reduced the time in delivering fixes from days to hours or even minutes. Automated tests are used from single method level to whole system integration level.
Is it possible to move security tests from pre-release phase to this automated software development life-cycle? How can we deliver top notch security level to high risk web platforms? What toolset can we use to do this?

Registration: http://owasp-krakow-20140525.eventbrite.com

==Open Source Day 2014==

OWASP Polska został partnerem konferencji Open Source Day 2014.

W programie - wykłady prowadzone przez specjalistów z czołówki światowych firm w sektorze Open Source: Red Hat, EnterpriseDB, Liferay, IBM, MongoDB, Intel, DataStax, Github i innych...

Będą też tematy stricte OWASP-owe:
* Omówienie dokumentów i narzędzi OWASP
* Warsztat modsecurity na którym będzie m.in. o zastosowaniu OWASP ModSecurity Core Rule Set

Pełna agenda konferencji: http://opensourceday.pl/osd-2014/agenda

Warsztaty: http://opensourceday.pl/osd-2014/warsztaty

Konferencja odbędzie się 13-14 maja w Warszawie w hotelu Marriott.
Wstęp wolny, po wcześniejszej rejestracji na stronie: http://opensourceday.pl/osd-2014/rejestracja-osd-2014

==4Developers==

OWASP Poland objął patronat nad tegoroczną edycją konferencji 4Developers. Dla sympatyków OWASP organizatorzy obiecali 15% zniżki od stawek standardowych, po podaniu kodu promocyjnego: 2k14-OWASP.

Więcej informacji na stronie konferencji: http://2014.4developers.org.pl/pl/

==SEMAFOR 2014==

Nie może Cię zabraknąć na Semaforze 2014 – najważniejszym wydarzeniu związanym z IT Security w Polsce. Już po raz siódmy stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na SEMAFOR 2014. VII Forum Bezpieczeństwa i Audytu IT, które odbędzie się 27-28 marca 2014 roku w Warszawie.

W tym roku program koncentruje się na zagadnieniach audytu IT i bezpieczeństwa informacji dotyczących czterech aktualnych top trendów: przetwarzanie w modelu Cloud Computing, urządzenia mobilne, sieci społecznościowe oraz Big Data.

Dla odbiorców OWASP rabat 10% – cena 1125 zł netto przy zgłoszeniu do 14 marca. By wziąć udział w najważniejszym wydarzeniu związanym z IT Security w Polsce i skorzystać z rabatu – zarejestruj się poprzez [http://www.computerworld.pl/konferencja/Semafor2014/wykup?token=OWASP ten link.]

Więcej informacji na temat konferencji można znaleźć [http://www.computerworld.pl/konferencja/Semafor2014/okonferencji?token=OWASP tutaj.]

==OWASP Kraków - 29 stycznia 2014==
Zapraszamy na spotkanie OWASP Poland w Krakowie, 29 stycznia 2014 (środa) o godzinie 17:00 w siedzibie Google, Rynek Główny 13. Sala Google for Entrepreneurs, III piętro:

'''Program:'''
* 17.00-17.15 OWASP News
* 17.15-18.15 [http://runic.pl/owasp/lpilorz-ios-webview-pl.pdf Bezpieczeństwo WebView w systemie iOS] - Łukasz Pilorz
* 18.15-18.30 przerwa kawowa
* 18.30-19.30 [https://www.owasp.org/images/9/93/Sql_injection_prezentacja_owasp_201401.pdf Obrona przed SQL-injection w aplikacjach Java/J2EE] - Piotr Bucki (j-labs)

'''Rejestracja:'''
[http://owasp-krakow-jan2014.eventbrite.com http://owasp-krakow-jan2014.eventbrite.com]

==2013==

==OWASP Kraków - 17 października 2013==
Zapraszamy na spotkanie OWASP Poland w Krakowie, 17 października 2013 (czwartek) o godzinie 17:00 w siedzibie Google, Rynek Główny 13. Sala Google for Entrepreneurs, III piętro:

'''Program:'''
* 17.00-17.15 OWASP News
* 17.15-18.00 Shall We play a game? - Maciej Lasyk, (ex-Ganymede) ([https://www.owasp.org/images/a/ab/Shall-we-play-a-game.pdf prezentacja])
* 18.00-18.15 przerwa kawowa
* 18.15-18.45 OWASP Top 10 i ASVS 2013 - Co nowego? - Wojciech Dworakowski ([http://www.slideshare.net/wojdwo/owasp-top10-2013 prezentacja])
* 18.45-19.30 Świat po Snowdenie. Czy i co możemy z tym zrobić? Dyskusja

'''Rejestracja:'''
[http://owasp-krakow.eventbrite.com/ http://owasp-krakow.eventbrite.com/]
==OWASP Poznań - 24 września 2013==
Zapraszamy na trzecie spotkanie OWASP Poland w Poznaniu, 24 września 2013 (wtorek) o godzinie 15:00 w Centrum Konferencyjnym IOR, ul. Władysława Węgorka 20A (wejście od Grunwaldzkiej)

'''Program:'''
* 15.00 - OWASP News
* 15.10 - Taras Ivashchenko [[Media:oxdef_csp_poland.pdf | "Content Security Policy"]]
* 15.55 - przerwa kawowa
* 16.10 - Michał Olczak [[Media:AntiMalware_Solution.pdf | "Antimalware Webapp Solution"]]
* 16.55 - TBA

'''Rejestracja:'''
[https://owasppoznan.eventbrite.com https://owasppoznan.eventbrite.com]

==OWASP Warszawa - 26 czerwca 2013==
Czerwcowe spotkanie OWASP w Warszawie.

'''Program:'''
* 18:00 - 18:15 - Otwarcie spotkania, aktualnosci OWASP Polska
* 18:15 - 19:00 - "Ataki rozproszonej odmowy usługi - przegląd zagrożeń" - Aleksander Ludynia, Menedżer, Ernst & Young
* 19:00 - 19:30 - "Ataki rozproszonej odmowy usługi - omówienie zabezpieczeń" - Paweł Chwiećko, Senior Security Engineer, VP

Dostępność danych jest kluczowym czynnikiem dla efektywnej realizacji działalności biznesowej. Jako niezwykle istotny element biznesu stała się ona celem poważnych ataków mających na celu uniemożliwienie dostępu do danych - ataków Denial of Service (DoS). Podczas pierwszej prezentacji zostaną omówione ataki DoS oraz DDoS, ich parametry, statystyki oraz źródła pochodzenia. Zademonstrowane zostaną również narzędzia, za pomocą których są one prowadzone.
Druga prezentacja poruszy problematykę skutecznej obrony przed atakami DDoS oraz będzie wstępem do dyskusji dotyczącej zagadnień związanych z atakami odmowy usługi.

Aleksander jest Managerem w Dziale Zarządzania Ryzykiem Informatycznym w Ernst & Young odpowiedzialnym za realizację projektów związanych z bezpieczeństwem systemów informatycznych. Specjalizuje się w testach penetracyjnych aplikacji internetowych oraz przeglądach bezpieczeństwa.

Paweł od 12 lat zajmuje się bezpieczeństwem i ochroną informacji. Od 6 lat związany z globalną instytucją finansową. W latach 2007-2010 członek zespołu EMEA Security Engineering w Londynie zajmującego się m.in. projektowaniem i wdrażaniem rozwiązań network security w regionie EMEA. Od 2011 r. członek zespołu Global Network Security Threat Defense Engineering zajmującego się m.in. testowaniem i opracowywaniem rozwiązań DDoS Protection, IDPS, SSL Decryption, NAC. Główne obszary zainteresowań w bezpieczeństwie informacji to Cyber Crime i Cyber Wars.

'''Rejestracja:'''

Lokalizacja, dojazd i rejestracja na stronie [http://www.eventbrite.com/event/6458831539 EventBrite].

==OWASP Kraków - 8 maja 2013==
Majowe spotkanie OWASP w Krakowie.

Program

*OWASP News
*Bezpieczeństwo a zarządzanie projektami - Wojciech Dworakowski (30 minut) - Jak NIE bawić się w IT, czyli słów kilka o błędach większych i mniejszych w zarządzaniu (nie tylko) systemami i sprzętem. Prezentacja zawiera studium kilku autentycznych przypadków, które spotkały autora prezentacji i jego znajomych, pracujących w branży IT. Całość podzielona jest na analizę kilku sytuacji, wśród których poruszane są następujące tematy: 1. Mimowolne udostępnienie poufnych danych oraz danych osobowych, 2. Problemy występujące na styku zarządzania zespołem i kwestiami technicznymi (z punktu widzenia administratora sieci i systemu) – omówienie zagrożeń związanych również z bezpieczeństwem tych sieci/systemów, 3. Słabe punkty „mocnych” systemów zabezpieczeń – czyli dlaczego nawet atak fizyczny na biuro firmy ma szansę powodzenia, 4. Błędy popełniane często przez kierowników zespołów, a mogące mieć kluczowe znaczenie w kwestiach bezpieczeństwa IT, 5. Czy cloud computing jest OK i dlaczego nie? [[File:Obcy kod (2013).pptx]]
* Model bezpieczeństwa rozszerzeń Google Chrome - Krzysztof Kotowicz (SecuRing) (30 minut) - Rozszerzenia Google Chrome mogą pomóc ci w sporządzaniu notatek, pozwalają przeglądać feedy RSS, wpółdzielić odwiedzane strony ze znajomymi. Te aplikacje HTML5 mogą jednak również śledzić Cię, przekierować ruch na złośliwy serwer proxy, wykonać kod Javascript na dowolnej domenie (Global XSS), odczytać wszystkie twoje ciasteczka i całą historię. Wiele napisanych rozszerzeń zawiera podatności, dzięki którym atakujący może przejąć kontrolę nad Twoją przeglądarką. Na prezentacji dowiesz się, jak wygląda model bezpieczeństwa rozszerzeń Google Chrome, zobaczysz skutki wykorzystania podatności w popularnych rozszerzeniach. Nauczysz się również analizować kod rozszerzeń tak, aby samemu przygotowywać ataki.
* Dyskusja na temat zagrożeń związanych z włączaniem do kodu strony obcej zawartości (reklam, statystyk, itp.) (30-60 minut) - Chcielibyśmy przeanalizować zagrożenia jakie wiążą się np. z osadzeniem w kodzie strony reklam serwowanych przez add-server. Jeśli atakujący przejmie kontrolę nad add-serverem (a nie jest to z reguły oprogramowanie pisane z myślą o bezpieczeństwie ;) to może w łatwy sposób np. osadzać wrogi kod na wszystkich stronach obsługiwanych przez add-serwer, zmieniać wygląd stron, itp. Problem będziemy chcieli omówić na przykładzie realnych incydentów - instytucji zaufania publicznego z branży finansowej oraz popularnego portalu poświęconego bezpieczeństwu IT. Liczymy na gorącą dyskusję! [[File:Bezpieczeństwo a zarządzanie projektami (2013).pptx]]

Szczegóły i rejestracja: http://www.eventbrite.com/event/6458841569
==OWASP Poznań - 11 kwietnia 2013==
Kwietniowe spotkanie OWASP w Poznaniu.

'''Program:'''
* 15.00 - OWASP News
* 15.15 - Jakub Masłowski "Praktyka Bezpiecznika - za kulisami w Allegro"
* 16.00 - Jakub Tomaszewski "OWASP Top 10 2013"

'''Rejestracja:'''

Lokalizacja, dojazd i rejestracja na stronie [https://owasppoznan.eventbrite.com EventBrite]. Biletów nie trzeba przynosić - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu.

==OWASP Warszawa - 6 marca 2013==
Marcowe spotkanie OWASP w Warszawie.

'''Program:'''
* 18:00 - 18:15 - Otwarcie spotkania, aktualności OWASP Polska
* 18:15 - 19:00 - "Why can't we secure our applications?" - Eoin Keary, wiceprezes OWASP. Omówienie obecnej sytuacji w zakresie bezpieczeństwa aplikacji wobec aktualnych wyzwań i zagrożeń w tym obszarze (prezentacja w języku angielskim). Eoin Keary jest znanym liderem w obszarze bezpieczeństwa oprogramowania i testów penetracyjnych. W ramach działalności w OWASP nadzorował wdrażanie OWASP Testing and Security Code Review Guides oraz OWASP SAMM, ASVS and the OWASP Cheat Sheet Series. Swoją działalnością przyczynił się do rozwoju bezpieczeństwa w największych światowych korporacjach finansowych oraz FMCG.
* 19:00 - 19:45 - [[Media:OWASP_lpilorz_PHP_2012.pdf‎|"2012 w bezpieczeństwie aplikacji PHP"]] - Łukasz Pilorz, Allegro. Przegląd najciekawszych podatności we frameworkach i popularnych aplikacjach PHP z ostatnich kilkunastu miesięcy. Zaprezentowane zostaną przykłady podatnego kodu, praktyczne metody wykorzystania podatności, a także zaaplikowane łatki. Łukasz Pilorz jest specjalistą ds. bezpieczeństwa IT w Grupie Allegro. Prywatnie o bezpieczeństwie pisze na swoim blogu: http://lukasz.pilorz.net

'''Rejestracja:'''

Lokalizacja, dojazd i rejestracja na stronie [http://www.eventbrite.com/event/5563410310 EventBrite]. Biletów nie trzeba przynosić - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu.

==OWASP Kraków - 20 lutego 2013==
Lutowe spotkanie OWASP w Krakowie.

'''Program:'''

* OWASP News
* Leszek Miś - [http://www.slideshare.net/kravietz/czy-twoj-waf-to-potrafi "Czy Twój WAF to potrafi? - modsecurity"]
* Łukasz Lenart - [http://www.slideshare.net/kravietz/struts2-howsecure "How secure your web framework is? Based on Apache Struts 2"]
* Piotr Konieczny - [http://niebezpiecznik.pl/OWASP2013-Krakow-CSP.pdf "Content Security Policy"]

[[File:Farmaprom logo.jpg |upright=0.5| link=http://www.farmaprom.pl]] - sponsor spotkania.

'''Opisy:'''

Temat: "Czy Twój WAF to potrafi? - modsecurity."

Opis: WAF WAFowi nie równy. W dobie coraz większej liczby uruchamianych aplikacji webowych i coraz częściej przeprowadzanych na nie ataków, posiadanie firewalla aplikacyjnego stało się kluczowe, a w niektórych środowiskach wręcz wymagane. Czy jesteśmy skazani na rozwiązania komercyjne? A może nie znamy w pełni możliwości otwartoźródłowych WAFów? Podczas prezentacji przedstawię funkcjonalności drzemiące w projekcie modsecurity z uwzględnieniem realnych przypadków i własnych doświadczeń. Nie zabraknie również nowinek dotyczących rozwoju projektu jak i omówienia ciekawych sposobów jego wykorzystania jak np. wykrywanie faktycznej lokalizacji/IP atakującego za TOR-em.

O autorze: IT Security Architect w firmie Linux Polska Sp. z o.o. Lider projektu WALLF Web Gateway. Od 10 lat zawodowo związany, a prywatnie zafascynowany oprogramowaniem open source, głównie, ale nie tylko, pod kątem aspektów związanych z (nie)bezpieczeństwem IT. Instruktor/egzaminator technologii Red Hat. Prowadzi szkolenia i egzaminy ze ścieżki RHCA/RHCSS/RHCE.

'''Rejestracja:'''

Lokalizacja, dojazd i rejestracja na stronie [http://www.eventbrite.com/event/5451555750 EventBrite]. Biletów nie trzeba przynosić - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu.

[[Image:Confidence 2013.png |200px |upright=0.5| link=http://2013.confidence.org.pl/]] - konferencja CONFidence 2013, 28-29 maja w Krakowie, zniżka 15% z kodem <code>2k13-owasp</code>

[[File:Seconference logo.png |200px |upright=0.5 |link=http://2013.seconference.pl/]] - konferencja SEConference 2013, 24-25 maja w Krakowie.

==Semafor 2013==
Konferencja Semafor na stałe wpisała się w polski kalendarz społeczności IT i bezpieczeństwa informacji. Unikalna formuła będąca połączeniem tematyki z obszarów nadzoru IT (IT Governance) i bezpieczeństwa informacji już od pięciu lat przyciąga uwagę kadry kierowniczej przedsiębiorstw, sektora publicznego, administracji oraz organizacji pozarządowych. Konferencja stwarza warunki do bezpośrednich rozmów, dyskusji i wymiany doświadczeń między dyrektorami, menedżerami oraz ekspertami technicznymi.

Semafor 2013 umożliwia spotkanie z autorytetami branżowymi, doświadczonymi prelegentami i znanymi na całym świecie osobistościami zajmującymi się bezpieczeństwem informacji. To także okazja do zapoznania się z najnowszymi wyzwaniami bezpieczeństwa, trendami zagrożeń, standardami i rozwiązaniami technicznymi w obszarze IT i ochrony informacji.

Konferencja Semafor 2013 jest organizowana po raz szósty, pierwsza odbyła się w 2007 roku. Wydarzenie organizują stowarzyszenia ISSA Polska i ISACA Warsaw Chapter oraz magazyn Computerworld. W przygotowaniu spotkania udział bierze stowarzyszenie OWASP Polska i Fundacja Bezpieczna Cyberprzestrzeń. Nad programem konferencji czuwa Rada Programowa, w której zasiadają doświadczeni przedstawiciele ww. organizacji, przedstawiciele kierownictwa IT i komórek bezpieczeństwa w czołowych firmach branży finansowej, technologicznej, telekomunikacyjnej, energetycznej i sektora publicznego.

Wśród prelegentów można spotkać wybitnych przedstawicieli ze świata IT i bezpieczeństwa takich jak Ira Winkler, John Mitchell, Raoul Chiesa czy Eoin Keary.

http://konferencje.computerworld.pl/konferencje/semafor2013/program.html

==OWASP Poznań - 31 stycznia 2013==
Zapraszamy na pierwsze spotkanie OWASP Poland w Poznaniu. Dostępny jest [http://www.youtube.com/channel/UCmQdgdrKZtfypJgHEop4fZg kompletny zapis video ze spotkania].

* 15.00 Wojciech Dworakowski "Open Web Application Security Project"
* 15.45 Paweł Krawczyk [http://prezi.com/gsimnen3whfv/zarzadzanie-bezpieczenstwem-aplikacji-w-duzej-firmie/ "Zarządzanie bezpieczeństwem aplikacji w dużej firmie"]
* 16.30 Krzysztof Kotowicz, SecuRing [http://www.slideshare.net/kkotowicz/attack-withhtml5owasp "HTML 5 – atak i obrona"]
* 17.15 TBD

Rejestracja i informacje dojazdu na stronie [http://owasppoznan.eventbrite.com owasppoznan.eventbrite.com]. Biletów nie trzeba drukować - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu itd.

==2012==
==OWASP Kraków - 5 grudnia 2012==
Grudniowe spotkanie OWASP Poland odbędzie się w Krakowskim Parku Technologicznym:

* OWASP News
* Robert Pająk, CSO Interia.pl - "Bezpieczeństwo aplikacji - jak to u nas działa?"
* Piotr Bucki, J-Labs - "Frameworki J2EE vs cross-site scripting"

Szczegóły dojazdu i rejestracja na stronie [http://www.eventbrite.com/event/4898723213 EventBrite]. "Biletów" nie trzeba drukować - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu itd.

==Spotkanie OWASP Kraków - 26 września 2012==
Wrześniowe spotkanie OWASP Poland odbędzie się tradycyjnie w Krakowskim Parku Technologicznym (Aleja Jana Pawła II 41L 31-000 Kraków‎). Program spotkania:
* OWASP News
* Piotr Linke (Sourcefire) - wykrywnie i blokowanie włamań do aplikacji webowych
* Paweł Krawczyk - [http://prezi.com/zdgdj0rdn6ob/owasp-password-recommendations/ Password best practices] (also see [https://www.owasp.org/images/7/78/PSM_-_Problem_Definition.pdf Securing Password Storage], Cigital 2012)

Rejestracja: http://www.eventbrite.com/event/4383557338 [https://plus.google.com/events/cn6ordsi1nca2144b3pjlgkjv9s G+] [https://www.facebook.com/events/366953773383612/ FB] [http://linkd.in/S4aD1l LinkedIn]

==Spotkanie OWASP Warszawa - 9 października 2012==
Miejsce spotkania: Ernst & Young, Rondo ONZ 1, Warszawa, Sala: 14-40 (pietro 14), 18:00-20:00

Prosba o potwierdzenie uczestnictwa do: Tomasz.Polanski@owasp.org lub na http://www.eventbrite.com/event/3089399477

Agenda:
* 18:00 - 18:15 - Otwarcie spotkania, aktualnosci OWASP Polska
* 18:15 - 19:00 - [[Media:Presentation Mariusz Burdach.pdf |''Bankowosc mobilna - analiza ryzyka na przykladzie telefonow iPhone'']]
** Czy bankowosc mobilna jest bezpieczna? Jakie sa glowne zagrozenia dla przecietnego uzytkownika? Pokazemy tez, jak sprawdzic, czy aplikacja mobilna jest dobrze napisana. Podczas spotkania omowimy i zweryfikujemy na zywo kluczowe mechanizmy bezpieczenstwa.
**Prowadzacy: Mariusz Burdach, Prevenity
* 19:00 - 19:45 - [[Media:Jakub Botwicz - Prezentacja OWASP - 2012-10-09.pdf |''Zapewnienie bezpieczenstwa w calym cyklu zycia aplikacji - czyli dlaczego lepiej zapobiegac chorobom, niz leczyc je w zaawansowanym stadium'' ]]
** Obecnie powszechne jest testowanie penetracyjne aplikacji przed wdrozeniem w srodowisku produkcyjnym korzystajac z uslug firm zewnetrznych. Pozwala to wykryc istotne z punktu widzenia bezpieczenstwa bledy i zweryfikowac poprawnosc calego procesu tworzenia aplikacji lub wprowadzania w niej zmian. Co bedzie, jesli powazne bledy zostana znalezione na tym etapie? Ile kosztuje ich naprawienie i czy tych kosztow mozna byloby uniknac? W trakcie prezentacji opowiem o praktykach, ktore pozwalaja uzyskac mozliwie najwyzsza jakosc aplikacji w calym cyklu jej zycia - jednoczesnie ograniczajac koszty bledow.
** Prowadzacy: Jakub Botwicz, Ernst & Young
* 19:45 - 20:00 - Kwestie dodatkowe, zamkniecie spotkania

==Spotkanie OWASP Kraków - 22 maja 2012==
Wstępna agenda na 22 maja 2012:

* Piotr Bucki, "Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku CSRF" ([[File:Prezentacja csrf j-labs.pdf]])
**Na wykładzie pokażemy na czym polega atak CSRF. Następnie pokażemy jakie zabezpieczenia (i czy w ogóle) oferują popularne WEBowe frameworki Java.
* Łukasz Tomaszkiewicz, "Hardening IIS" ([[File:Hardening iis.pdf]])
**Patchowanie systemów (+ Baseline Security Analyzer)
**Web Application Security Analyzer
**Usunięcie niepotrzebnych komponentów IIS
**Bezpieczeństwo adresów (długie URLe i query stringi, UTF w URLach, double-encoded requests)
**Ukrywanie banerów i stron błędów
**URLScan
**Konta Application Pool
**Bezpieczeństwo systemu plików
**Limitowanie ilości połączeń (anty-DoS)
**Wymuszanie mocnego szyfrowania SSL + ustawianie zaufanych certyfikatów dla usług działających w oparciu o IIS
* w trakcie ustalania

Lokalizacja i mapka [http://owasp-poland.eventbrite.com/?ref=elink na stronie Eventbrite]. Prosimy o rejestrację (pobranie darmowych "biletów") żebyśmy wiedzieli ile osób się mniej więcej spodziewać. Spotkanie koordynuje Paweł Krawczyk (+48-602-776959).

===Streaming===
Dla tych, którzy nie będą mogli uczestniczyć osobiście, postaramy się
udostępnić streaming za pomocą GoToMeeting (Meeting ID:
464-904-886).
https://www3.gotomeeting.com/join/464904886

Uwaga: Wymagana instalacja oprogramowania GoToMeeting. Ilość
uczestników on-line jest ograniczona (25 połączeń).
Start - godzina 18:00.

==CONFidence 2012==

===PL===

CONFidence nabiera rozpędu, więc przygotujcie się na dwa dni ekstremalnie zapełnione wykładami i atrakcjami! Tego jeszcze nie było! Prezentacje podzielone na cztery grupy tematyczne (2 ścieżki na dzień), ponad 30 prelegentów, nowinki z branży, warsztaty oraz gra szpiegowska X-traction Point, która zaskoczy wszystkich!

Wtępnie agenda zawiera wydzielone cztery ścieżki tematyczne:

- '''WebSec''', bezpieczeństwo aplikacji webowych,

- '''Cross- Layer''', protokoły komunikacyjne, Serwery, Aplikacje,

- '''AppSec''', bezpieczeństwo i dziury w aplikacjach,

- '''Pwnage''', omijanie zabezpieczeń.

Prelegenci, którzy wystąpią na konferencji to m.in. : John “Captain Crunch” Draper, Gregor Kopf, Ashar Javed, Alexey Sintsov, Luiz Eduardo, Luiz Eduardo, Zane Lackey, Raoul Chiesa i wielu innych.

Szczegóły dotyczące agendy znajdują się na stronie: [http://2012.confidence.org.pl/agenda]

Jak zawsze na konferencji pojawią się panele dyskusyjne prowadzone przez światowej klasy specjalistów, m.in. panel „Bezpieczna aplikacja webowa - czy to możliwe?” prowadzony przez Mario Heiderich oraz Garetha Hayes.

Uruchomiliśmy również warsztaty, które odbywać się będą przed, jak i po konferencji. Dla zainteresowanych, jako pierwsze w kolejności proponujemy warsztaty organizowane przez Compendium. Zakończ CONFidence 2012 z oficjalnym certyfikatem ISECOM w pakiecie z egzaminem wieńczącym szkolenia.

Ciekawym dodatkiem do głównych prezentacji będą również prezentacje w ramach Lightning Talks. Krótkie 5-minutowe wystąpienia uczestników konferencji podczas przerw między wykładami docelowymi. Tematy zahaczają zarówno ciekawe projekty, wyniki badań, intrygujące hobby czy dowolne wątki, które Waszym zdaniem mogą zainteresować publiczność. Każdy uczestnik ma możliwość zgłoszenia swojego tematu w ramach wolnych miejsc.

Elementem całkowicie innowacyjnym i kreatywnym będzie zabawa pod nazwą X-traction Point, które debiutuje na tegorocznym CONFidence. Uczestnicy będą mogli sprawdzić swoje umiejętności z zakresu lockpickingu, wiedzy o alarmach, detektorach ruchu i dźwięku oraz podstawowej wiedzy hackowania. A to wszystko podczas zadania infiltracji bunkra i uratowania zakładnika! Wszystko na żywo i z poglądem z kamer. Zapowiada się niezapomniany turniej!

To i wiele wiele innych atrakcji już 23- 24 maja w Krakowie! CONFidence 2012 - bądź przygotowany na prawdziwe wyzwania!

Kod rabatowy dla osób rejestrujących się via OWASP: 2012-owasp
15% zniżki na opłatę konferencyjną.

===ENG===
CONFidence gaining momentum, so get ready for two days filled with lectures and extreme attractions! The presentations will be divided into four theme groups (2 each day) with more than 30 speakers, unpublished materials, workshops and a special X-traction point game, which is something you haven't seen before!

Schedule template contains four separate thematic tracks:
-'''WebSec''' – Web application Security

-'''Cross-Layer''' – Communication protocols, Servers, Applications, Misc

-'''AppSec''' – Security and Application Flaws

-'''Pwnage''' – Bypassing the security systems, hacking technologies

Some of the speakers at the conference include John "Captain Crunch" Draper, Gregor Kopf, Ashar Javed, Alexey Sintsov, Eduardo Luiz, Luiz Eduardo, Zane Lackey, Raoul Chiesa and many more.

Details of the schedule can be found at: [http://2012.confidence.org.pl/agenda]

As always at the conference there will be discussion panels led by world-class experts, including, "Secure Web application - is it possible?" panel led by Mario Heiderich and Gareth Hayes.

There will also be additional workshops before and/or after the conference, inlucing a special workshop prepared by Compendium, where you can prepare for and obtaining an ISECOM certificate.

Apart from the normal presentations, there will be special Ligtning Talks track spread over two days. Attendees will be able to perform short, 5 minutes long presentations, covering all range of topics ranging from their projects, research results to even some specific hobbies. Every conference attendee has a possibility to submit a topic for as long as there are free slots for the talks.

For the very first time, we will deploy an X-traction Point contest, where attendees will be given a possibility to test their skills in lockpicking, knowledge about alarm systems, motion and sound detectors along with basic hacking skills. They will have to use their knowledge in a live bunker infiltration, get behind the security systems, pass the guards and save a prisoner. All that live streamed for the audience. This will be spectacular!

Prepare for all that during the CONFidence 2012, which will be held in Krakow on 23-24th of May.

15% discount, when registering via OWASP, use this code during registration: 2012-owasp

[http://2012.confidence.org.pl/?utm_source=owasp&utm_medium=banner&utm_campaign=mediapartners Więcej na stronie konferencji.]

==KrakYourNet==

W ramach tegorocznej edycji KrakYourNet (14 - 21.04) an AGH w Krakowie Wojciech Dworakowski zaprezentował dokumenty i narzędzia rozwijane w ramach działalności OWASP. Prezentację można pobrać [[Media:Bezpieczeństwo_aplikacji_webowych_-_standardy,_przewodniki_i_narzędzia_OWASP_-_KrakYourNet_-_20120419.pdf| tutaj.]]

Więcej informacji na temat wykładu [http://www.krakyournet.pl/index/event/4 tutaj].

== 21. March 2012==
Zapraszamy wszystkich zainteresowanych na spotkanie OWASP Poland Local Chapter, poświęcone tematyce bezpieczeństwa aplikacji webowych.
===Czas===
21 marca 2012, 18.00 - 20.00

===Miejsce===
[http://www.kpt.krakow.pl Krakowski Park Techniologiczny] (Al. Jana Pawła II 41 L), sala konferencyjna na III piętrze.

Lokalizacja na [http://maps.google.pl/maps?vpsrc=6&ie=UTF8&ll=50.078137,19.994615&spn=0.005749,0.013937&t=w&z=17&iwloc=A&q=Krakowski+Park+Technologiczny+Sp.+z+o.o.&cid=4800256453671308201 mapie]. Dojazd liniami: 4, 10, 15,40 - przystanek "AWF".

Wstęp wolny. Prosimy o [http://owasp-poland-2012-03-21.eventbrite.com/lista potwierdzenie uczestnictwa.]

===Streaming===
Tak jak poprzednim razem będzie możliwość zdalnego uczestnictwa za pomocą GoToMeeting (Meeting ID: 759-783-526): [https://www3.gotomeeting.com/join/759783526 link]

Uwaga: Wymagana instalacja oprogramowania GoToMeeting. Ilość uczestników on-line jest ograniczona (25 połączeń).

===Agenda===

====Analiza statyczna języka PHP====
Mateusz Kocielski, LogicalTrust 
18.00 - 19.15

''Abstrakt:''

Analiza statyczna jest jedną z metod wyszukiwania błędów oraz poprawiania jakości oprogramowania. 
Zaczynając od historii i podstaw teoretycznych, a kończąc na praktycznych aspektach i zero dayach, 
dowiemy się jak wykorzystać wszystkie jej dobrodziejstwa na przykładzie języka php. 
Wykład przeznaczony jest dla wszystkich, którzy mają jakikolwiek związek z wytwarzania oprogramowania. 

* 19.15 - 19.30 Przerwa / networking

====Web Application Firewall 101====
Przemysław Skowron 
19.30 - 20.00

''Abstrakt'':

Web Application Firewall to kolejna (czasem jedyna!) warstwa 
bezpieczeństwa w środowisku pracy aplikacji webowych. Pozwala na 
monitoring i ochronę aplikacji. Może służyć jako "Strażak" w czasie 
pożaru i często stosowany jest tylko do tego. W "kwadrans" postaram 
się przybliżyć: czym jest WAF, w jakich architekturach możemy go 
wdrożyć, jakie mamy WAFy na rynku, jak wybrać ten najlepszy dla nas, w 
jakich trybach działa, w oparciu o co może reagować, jak się ma WAF do 
OWASP Top10 i czym jest OWASP CRS.

===Meeting Supporter===
Sponsorem spotkania jest firma [[Image:Logicaltrust-logo.png| upright=0.5| link=http://logicaltrust.net]].

==SEMAFOR 2012==

We have the pleasure to inform You that on February 23-24, 2012, the SEMAFOR (Security, Management, Audit Forum) conference will take place in Warsaw. The conference is held by ISSA Poland, ISACA Warsaw Chapter and the Computerworld with active support of OWASP Poland. OWASP members have 10% of discount for this event.

For more information about SEMAFOR 2012, please visit: https://issa.org.pl/semafor-2012.html

==18. January 2012==

We're meeting in Krakow on 18. January 2012 in [http://www.kpt.krakow.pl/en Krakow Technology Park (Czyżyny)] (Al. Jana Pawła II 41 L) at '''6pm''', conference hall on 3rd floor. This meeting is organized jointly by ISSA Poland. Please confirm Your attendance [http://www.eventbrite.com/event/2726383687 here.]

===Agenda:===
* OWASP news.
* [http://prezi.com/awm8psp-i1ok/no-mans-land/ No Man's Land - Vulnerabilities in J2EE frameworks and libraries] - Sławomir Jasek, SecuRing.
* [[Media:Defending_ASP.Net_Apps_against_XSS.pdf| Defending ASP.Net apps against XSS.]] - Mateusz Olejarka, VSoft S.A.
* [http://prezi.com/zn6ixh6n4obl/bad-coding-with-ruby-on-rails/ Bad coding with Ruby on Rails] - Paweł Krawczyk, AON.

===Streszczenia:===

====Ziemia niczyja - czyli podatności we frameworkach i bibliotekach J2EE.====
Sławomir Jasek (SecuRing)

Podatności obecne w aplikacjach mogą wynikać z błędów popełnionych
przez programistów, ale także ze słabości istniejących w zastosowanych
frameworkach i bibliotekach.

Z mojego doświadczenia wynika, że ten
drugi aspekt jest często pomijany przy projektowaniu bezpieczeństwa
aplikacji a także w trakcie utrzymania aplikacji
(uaktualniane jest
oprogramowanie serwerowe ale nie biblioteki wchodzące w skład
aplikacji).

Prezentacja ma na celu naświetlenie tego problemu przez pokazanie
przykładów ciekawych,
a jednocześnie łatwych do przeoczenia
podatności, występujących w popularnych bibliotekach/frameworkach J2EE
takich jak Struts, Spring MVC.

====Obrona aplikacji webowej ASP.Net: XSS====
'''Mateusz Olejarka (VSoft)'''

Prezentacja ma celu zarysować dość szeroką tematykę zwiazaną z XSS'em. Na początku pojawi się kilka pojęć i faktów dotyczących XSS,
w głównej części omówimy

sobie możliwości jakie mamy, aby zabezpieczyć naszą aplikację, m.in: mechanizm Request Validation, HttpUtility, AntiXSS.

====Popularne błędy w aplikacjach Ruby on Rails====
Paweł Krawczyk (IPSec.pl)

Ruby on Rails uchodzi za framework ułatwiający pisanie bezpiecznych
aplikacji - i takim jest w istocie.

Nie znaczy to jednak, że samo RoR
w magiczny sposób naprawi dziury wynikające z braku dbałości o
bezpieczeństwo.

W prezentacji pokażę typowe błędy popełniane przez
programistów RoR oraz narzędzia, które umożliwiają wyłapanie
większości z nich w półautomatyczny sposób.

==2011==

==15. December 2011==
Zaproszenie na kolejne spotkanie OWASP w Warszawie / Invitation for
the next OWASP meeting in Warsaw 

Tym razem prezentacje beda w języku angielskim / This time the
presentations will be in English 

Data i miejsce spotkania / Date and place of the meeting: 

15 grudzien 2011 / 15 December 2011
Ernst & Young
Rondo ONZ 1, Warszawa
Sala: 14-40 (piętro 14)
18:00-20:00

 
Prosba o potwierdzenie uczestnictwa do: Michal.Kurek@owasp.org /
Please confirm your attendance to: Michal.Kurek@owasp.org 

'''Agenda''':

* 18:00 - 18:15 - Otwarcie spotkania, aktualnosci OWASP Polska / Meeting Opening, OWASP Poland News
* 18:15 - 19:00 - [http://www.slideshare.net/bezpiecznik/1112-agile-approach-to-pci-dss-development-10600190 "The agile approach to PCI DSS implementation in SDLC area"] - Jakub Syta, IMMUSEC
* 19:00 - 19:45 - [http://blog.c22.cc/2011/11/18/deepsec-ground-beef-cutting-devouring-and-digesting-the-legs-off-a-browser/ "Ground BeEF: Cutting, devouring and digesting the legs off a browser"] - Michele Orru' a.k.a. antisnatchor, Royal Bank of Scotland
* 19:45 - 20:00 - Kwestie dodatkowe, zamkniecie spotkania / Additional Topics, Meeting Closure
 

Więcej informacji o prelegentach / More information about the presenters:
 
'''Jakub Syta''', IMMUSEC
 
Ekspert w zarzadzaniu bezpieczenstwem informacji i ciagloscia
dzialania, zdobyl doswiadczenie w szeregu zagadnien z zakresu ochrony
fizycznej oraz przeciwdzialania naduzyciom. Ostatnie lata spedzil
kierujac dzialem bezpieczenstwa w jednym z najwiekszych swiatowych
bankow bedac odpowiedzialnym za dostarczanie uslug bezpieczenstwa dla
kilku krajow. Od 2010 jest wspolnikiem w spolce doradczej IMMUSEC.
Prelegent na krajowych i miedzynarodowych konferencjach, doswiadczony
wykladowca. Ekspert w Podkomitecie ds. ISMS przy KT 182 w Polskim
Komitecie Normalizacyjnym, byly czlonek zarzadu ISACA Polska,
doktorant na Wydziale Zarzadzania Politechniki Warszawskiej. Jest
audytorem wiodacym ISO 27001 i ISO 9001, legitymuje sie certyfikatami
takimi jak CISA, CISSP, CRICS, ITIL Foundation.
 

'''Michele Orru'''', Royal Bank of Scotland
 
Michele Orru' a.k.a. antisnatchor is an IT and ITalian security guy
who works as a Penetration Tester for The Royal Bank of Scotland Group
in Warsaw, Poland. He mainly focus his research on web application
security. Besides his nasty passion about black, gray, white hat
hacking and BeEF (being an active committer since the Ruby port
started), he enjoys to leave alone his Mac while fishing on salted
water and preys for Kubrick resurrection. 

==23. November 2011 - Cracow==
We're meeting in Krakow on 23. November 2011 in [http://www.kpt.krakow.pl/en Krakow Technology Park (Czyżyny)] (Al. Jana Pawła II 41 L) at '''6pm''', conference hall on 3rd floor. This meeting is organized jointly by ISSA Poland.

Agenda:
* [[Media:OWASP_News_20111123.pdf| OWASP News]]
* [http://www.securitum.pl/dh/owasp_krakow_112011.pdf Selected vulnerabilities in web management consoles of network devices] - Michał Sajdak, Securitum
* [[Media:OWASP_ESAPI_and_AppSensor_-_intro.pdf |Groundbreaking OWASP tools for developers. Brief introduction to OWASP ESAPI and AppSensor]]- Wojciech Dworakowski, SecuRing
* [http://prezi.com/zeuz-3td6iqe/couchdb-security/ CouchDB security] - Paweł Krawczyk

 
Meeting supporter for this event is [[Image:Securitum.gif| http://www.securitum.pl ]], which will provide delicious cupcakes and coffee :).

==3 rd SASMA & LIQUIDNEXXUS Business Security Conference==
On 17. November 2011- Warsaw during 3 rd SASMA & LIQUIDNEXXUS Business Security Conference Mateusz Olejarka will be speaking about Application Security Threats and OWASP TOP 10.

More details [http://www.sas-ma.org/pl_3-rd-sasma-liquidnexxus-business-security-conference,263.html here.] 

==OWASP & ISACA Katowice Chapter-in-formation==

On 20. October in Cracow University of Economics during ISACA Katowice Chapter-in-formation meeting Wojciech Dworakowski will be speaking about OWASP and Web Application Security. 
More information: http://isaca.katowice.pl/spotkania.html

==OWASP Poland Partnership during Secure 2011==

Secure 2011 is international conference on telecommunications and IT security organized by CERT Poland on 24-26 October 2011 in Warsaw.

More information: http://secure.edu.pl/

===27. September 2011 - Warsaw===
We're meeting in Warsaw on 27. September 2011 in Ernst & Young (Rondo ONZ 1, Warszawa, room 14-40, floor 14). Please confirm your attendance by sending email to Michal.Kurek@owasp.org as amount of places is limited. Agenda:

* 18:00 - 18:15 - Otwarcie spotkania, aktualności OWASP Polska

* 18:15 - 19:00 - '''"Bezpieczeństwo aplikacji mobilnych"''' - Aleksander Ludynia, Ernst & Young<blockquote>Aleksander jest Konsultantem w Dziale Zarządzania Ryzykiem Informatycznym w Ernst & Young odpowiedzialnym za realizację projektów związanych z bezpieczeństwem systemów informatycznych. Specjalizuje się w testach penetracyjnych aplikacji internetowych oraz przeglądach bezpieczeństwa. Abstrakt: Skala i charakter wykorzystania aplikacji mobilnych zmieniają się w bardzo dynamicznym tempie. Równolegle rozwija się działalność przestępców komputerowych, prowadzących różnego rodzaju ataki, których celem są urządzenia przenośne. Podczas prezentacji zostanie omówiona sytuacja na rynku aplikacji mobilnych, a także zagrożenia związane z ich wykorzystaniem. Ponadto, omówione zostaną podstawowe techniki wykorzystywane podczas testów penetracyjnych tego typu aplikacji. Prezentacja będzie wstępem do szerszej dyskusji dotyczącej zagadnieńzwiązanych z bezpieczeństwem aplikacji mobilnych.</blockquote>

* 19:00 - 19:45 - '''"Zarządzanie sesją w aplikacjach internetowych"''' - Sławomir Rozbicki, PKO BP<blockquote>Sławek jest specjalistą w zespole Bezpieczeństwa Internetowego i Telekomunikacyjnego Banku PKO BP. Do jego obowiązków należy głównie wykonywanie testów penetracyjnych aplikacji internetowych, infrastruktury teleinformatycznej oraz bieżący monitoring incydentów bezpieczeństwa. Abstrakt: Mechanizmy zarządzania sesją aplikacji internetowych mają znaczący wpływ na ich bezpieczeństwo. Pomimo to niedocenianie ryzyka związanego z ich nieprawidłową implementacją wydaje się być częstą praktyką. Zawarte w prezentacji materiały mają za zadanie zwrócić uwagę na podstawowe wektory ataku oraz ułatwić ocenę podatności poszczególnych elementów sesji na ataki. Przedstawione przykłady pokazują jak nawet najsilniejsze mechanizmy uwierzytelnienia mogą zostać ominięte, w przypadku wykorzystania słabości związanych z nieprawidłową obsługą sesji.</blockquote>

* 19:45 - 20:00 - Kwestie dodatkowe, zamknięcie spotkania

* '''Download :'''
** [[Media:OWASP_News_20110927.pdf | OWASP News]]
** [[Media:OWASP 2011 - Aleksander Ludynia - Bezpieczenstwo aplikacji mobilnych.pdf | Aleksander Ludynia - Bezpieczenstwo aplikacji mobilnych]]
** [[Media:OWASP 2011 - Slawomir Rozbicki - Session Managemnt.pdf | Slawomir Rozbicki - Session Management]]

===14. September 2011 - Krakow===
We're meeting in Krakow on 14. September 2011 in [http://www.kpt.krakow.pl/en Krakow Technology Park (Czyżyny)] (Al. Jana Pawła II 41 L) at '''6pm''', conference hall on 3rd floor. Note '''date change to 14. September''' (previously announced date was 13. September).

Google Maps [http://maps.google.pl/maps?daddr=50.078184,19.994881&hl=pl&sll=50.078171,19.994903&sspn=0.005735,0.013937&vpsrc=0&gl=pl&mra=mift&mrsp=1&sz=17&t=h&z=17 link].

Agenda:

*OWASP news
*'''Uczący się firewall webowy''' - nowy polski projekt (Marek Zachara, AGH). Streszczenie:
<blockquote>
Inteligentne systemy, analizujące i dopasowujące się do wzorców zachowań użytkowników zdobywają kolejne pola zastosowań. W trakcie wykładu zostanie zaprezentowane wykorzystanie takich metod do tworzenia samo-uczącego się firewalla aplikacyjnego (ang. Learning Web Application Firewall). LWAF potrafi (na podstawie analizy ruchu) stworzyć oczekiwane wzorce przychodzących danych - a co za tym idzie, zidentyfikować nietypowe zachowania użytkowników - i ochronić w ten sposób aplikację przed próbami ataku. Wyniki działania takiego firewall-a, a także podstawowa analiza teoretyczna zostanie zaprezentowana na bazie przygotowanej przez autorów implementacji tej techniki w formie modułu do serwera Apache.</blockquote>
Download paper: [http://marek.zachara.name/marek/publ/2011_ares.pdf Learning Web Application Firewall - Beneﬁts and Caveats], slides: [[File:LWAF.pptx]]
<blockquote>
Intelligent systems that process and analyze patterns in human behavior have been gaining traction in various fields of use. During the lecture, we will present a Learning Application Firewall (LWAF) which utilizes such methods to analyze the traffic patterns, constructs expected data patterns and can protect the application from harmful attack attempts. Resluts from experiments, as well as theoretical background will be presented based on the reference implementation of the LWAF as Apache module, prepared by the authors</blockquote>

*'''HTML5 - Something wicked this way comes''' ([http://blog.kotowicz.net/ Krzysztof Kotowicz], SecuRing) Streszczenie:
<blockquote>HTML5 to ulubieniec współczesnych przeglądarek i webdeveloperów, ale może zostać również wykorzystany w złych celach.
Przedstawimy najnowsze metody ataków na aplikacje internetowe z wykorzystaniem HTML5 oraz różnych technik UI redressing, a także sposoby ukrycia ataku w mechanizmach gry online. Zobaczycie demonstracje rzeczywistych ataków na popularne serwisy internetowe z wykorzystaniem opisanych metod.</blockquote> Download: [[File:Html5-something wicked this way comes owasp.pdf]]

<blockquote>
HTML5 is a favorite of modern browsers and web developers. Likewise, it can used for evil purposes. We will cover new attacks on web applications, which use HTML5 and UI redressing techniques and ways to cover it up in an online game logic. We shall see the demos of real attacks on popular web sites which includes described methods.</blockquote>

Generally - all lectures are in Polish. If you would like to attend and do not know Polish, please contact meeting coordinator.

This meeting is organized jointly by ISSA Poland. Questions or issues? Contact meeting coordinator Wojtek Dworakowski +48-506-184550.

If you would like to make a presentation, or have any questions about the Poland Chapter, send an email to Chapter Leader or any Chapter Board member.

===30. June 2011 - Warsaw, ISSA InfoTRAMS===
All OWASP Poland, ISSA Poland and CISSP holders are entitled to free entry to [https://issa.org.pl/infotrams/fusion-tematyczny-bazy-danych-kariera-warszawa.html InfoTRAMS] conference that will be held at TPSA conference venue Twarda street 18 in Warsaw.

===23. May 2011 - Krakow===
23. May 2011 in [http://www.kpt.krakow.pl/en Krakow Technology Park (Czyżyny)] at 6pm, conference hall on 3rd floor.

Two research topics were presented (both in '''Polish'''):

*OWASP news, KPT introduction
*Minerva - automatic vulnerability scanning (Mateusz Kocielski)
*[http://www.slideshare.net/kravietz/why-care-about-application-security Why care about application security?] (Paweł Krawczyk)

===OWASP Partnership during CONFidence 2011===
CONFidence is an annual IT security conference that will take place on 24-25th May, 2011 in Krakow, Poland for the 9th time!

More information: http://2011.confidence.org.pl/

===OWASP Partnership during Banking Forum 11-12th May 2011===
Banking Forum is a major event organized for managers of polish financial institutions.

OWASP Poland Chapter was Partnership of this event and our representatives took part in panel discussions about security of financial applications and security in software development lifecycle.

===On 24th March 2011 - Krakow===
6:15pm - 6:30pm ... "OWASP News" - Przemyslaw Skowron, OWASP Leader 
6:30pm - 7:00pm ... "Source Code Scanners" - Pawel Krawczyk http://www.slideshare.net/kravietz/source-code-scanners 
7:00pm - 8:00pm ... "Penetration testing - panel discussion" 

===On 27th January 2011 - Warsaw===
6:00pm - 6:40pm ... "OWASP News" - Przemyslaw Skowron, OWASP Leader 
6:45pm - 7:20pm ... [[Media:OWASP_2011_-_Michał_Kurek_-_Cross-Site_Scripting.pdf|"Cross-Site Scripting"]] - Michal Kurek, Ernst&Young 
7:25pm - 8:00pm ... "Phishing" - Tomasz Sawiak, Safe Computing 

===On 20th January 2011 - Krakow===
6:15pm - 6:25pm ... "OWASP News" - Przemysław Skowron, OWASP Leader 
6:30pm - 7:10pm ... "Advanced Data mining" - Jakub Kaluzny 
7:15pm - 8:00pm ... "OWASP ASVS - panel discussion" - Wojciech Dworakowski, Securing 

==2010==

===OWASP Partnership during seminar InfoTRAMS - Privacy at work===

9th of December 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership. 

More information: http://issa.org.pl/2010-12-09/prywatno%C5%9B%C4%87-w-pracy-infotrams-warszawa.html

===OWASP Poland Partnership during Secure 2010===

25-27th of October 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership. 

[[Image:Secure2010.jpg | |center |Secure 2010]]

More information: http://secure.edu.pl/

===OWASP Partnership during seminar InfoTRAMS - Cloud computing===

30th of June 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership. 

More information: http://www.issa.org.pl/content/view/129/1/

===On 10th June 2010===
6:00pm - 6:15pm ... "OWASP News" - Przemyslaw Skowron /PL/ - [[Media:OWASP_20100610_PSkowron_OWASP_News.pdf | Slides]] 
6:15pm - 7:10pm ... "Creating, obfuscating and analysis of JavaScript-based malware." - Krzysztof Kotowicz /PL/ - [[Media:OWASP_20100610_KKotowicz_Analysis_of_Javascript-based_malware.pdf | Slides]] | [http://www.varlog.pl/2010/06/czerwcowe-spotkanie-owasp-video/ Video] 
7:15pm - 8:00pm ... "Network Forensic: what captured packets say" - Paweł Goleń /PL/ - [[Media:OWASP_20100610_PGolen_Network_Forensic.pdf | Slides]] | [http://www.varlog.pl/2010/06/czerwcowe-spotkanie-owasp-video/ Video] 

===OWASP Partnership during KrakSpot Tech #1===

8th of June 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership. 

More information: http://krakspot.pl/2010/05/29/krakspot-tech-agenda/

===OWASP Partnership during CONFidence 2010===

25-26th of May 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership. 

More information: http://2010.confidence.org.pl/

===On 13th May 2010===
6:05pm - 7:00pm ... "Drive-by download attacks" - Filip Palian /PL/ - [[Media:OWASP_20100513_FPalian_Drive-by_download.ppt | Slides]] | [http://www.varlog.pl/2010/06/majowe-spotkanie-owasp-video/ Video] 
7:05pm - 7:50pm ... "Detection and analysis of malicious web sites" - Łukasz Juszczyk /PL/ - [[Media:OWASP_20100513_LJuszczyk_Detection_and_analysis_malicious.pdf | Slides]] | [[Media:OWASP_20100513_LJuszczyk_m.pdf | Extra#1]] | [[Media:OWASP_20100513_LJuszczyk_jsunpack.pdf | Extra#2]] | [http://www.varlog.pl/2010/06/majowe-spotkanie-owasp-video/ Video] 

===OWASP Partnership during SEConference 2010===

9-10th of April 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership. 

During meetings there will be a few talks dedicated the OWASP Projects. 
More information: http://www.2k10.seconference.pl/docs/

===On 17th March 2010===
6.10pm - 6.50pm ... "Workshop: CISSP - Telecommunications and Network Security" - Julia Juraszek, ISSA Polska, Polkomtel S.A. 
7.00pm - 7.40pm ... "OWASP - Incident handling: Web Application Attacks" - Przemyslaw Skowron, OWASP Poland /PL/ - [[Media:OWASP_20100317-PSkowron-Incident_Handling.pdf | Slides]] 

===On 10th March 2010===
5:00pm - 5:05pm ... "OWASP News" - Przemyslaw Skowron /PL/ - [[Media:OWASP_20100310-PSkowron-OWASP_News.ppt | Slides]] 
5:05pm - 6:10pm ... "SQL Injection: complete walktrough (not only) for PHP developers" - Krzysztof Kotowicz /PL/ - [[Media:OWASP_20100310_KKotowicz_SQL_Injection.ppt | Slides]] | [http://www.varlog.pl/2010/03/marcowe-spotkanie-owasp-php-video/ Video] 
6:15pm - 7:20pm ... "Secure PHP framework" - Łukasz Pilorz /PL/ - [[Media:OWASP_20100310_LPilorz_Secure_PHP_Framework.pdf | Slides]] | [http://www.varlog.pl/2010/03/marcowe-spotkanie-owasp-php-video/ Video] 

===OWASP Poland Partnership during SEMAFOR 2010===

26-27th of January 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership. 

[[Image:Semafor2010.jpg | SEMAFOR 2010]]

During meetings there will be a few talks dedicated the OWASP Projects. 
More information: http://konferencje.computerworld.pl/konferencje/semafor2010/zagadnienia.html

===On 14th January 2010===
6:20pm - 6:30pm ... "OWASP News" - Przemyslaw Skowron 
6:30pm - 7:15pm ... "Fuzzing" - Piotr Laskawiec /PL/ - [[Media:OWASP_20100114_PLaskawiec_Fuzzing.pdf | Slides]], /EN/ - [[Media:OWASP_20100114_PLaskawiec_Fuzzing-en.pdf | Slides]] 
7:15pm - 8:00pm ... "Security in Software Development Life Cycle" - Wojtek Dworakowski /PL/ - [[Media:OWASP_20100114_WDworakowski_Security_in_SDLC.pptx‎ | Slides]] 

==2009==

===On 10th December 2009===
6:30pm - 6:45pm ... "OWASP News" - Andrzej Targosz, Przemyslaw Skowron 
6:50pm - 7:25pm ... "OWASP Top 10 2010" - Przemyslaw Skowron /PL/ - [http://www.slideshare.net/thinksecure/owasp-top10-2010-rc1-pl OWASP_Top10_2010-RC1-PL] by Michał Wiczyński 
7:30pm - 8:10pm ... "Real Life Information Security" - Pawel Krawczyk /EN/ - [[Media:OWASP_20091217_PKrawczyk_Real_World_Security.ppt‎ | Slides]] 

===On 12th February 2009===
6:00pm - 6:30pm ... "OWASP News" - Andrzej Targosz 
6:30pm - 7:30pm ... "Blind SQL Injections" - Jacek Wlodarczyk /PL/ - [[Media:OWASP_20090212_JW_Blind_SQLi.ppt | Slides]] 
7:30pm - 9:30pm ... OWASP UNConference 

==2008==

===On 11th December 2008===
6:00pm - 7:00pm ... "Hack tool Firefox" - Filip Palian 
7:00pm - 8:15pm ... "OWASP where we were, where we are now, and where we are going..." - Andrzej Targosz 

===On 23th October 2008===
6:15pm - 7:10pm ... "Wargame @ Confidence/OWASP EU 2008 vs. OWASP Testing Guide" - Przemysław Skowron /PL/ - [[Media:OWASP_20081023-prezentacja.pdf | Slides]] , [[Media:OWASP_20081023-mind_mapa.pdf | MindMap]] 
7:15pm - 8:10pm ... "Intrusion detection for web applications" - Łukasz Pilorz /EN/ - [[Media:OWASP_WebIDS_pub.pdf | Slides]] 
8:15pm - 9:10pm ... "Session management for Web Application" - Paweł Goleń /PL/ - [[Media:Owasp_prezentacja.pdf | Slides]] 

===On 25th April 2008===
5:15pm - 5:30pm ... "OWASP News" - Andrzej Targosz 
5:30pm - 5:45pm ... "Short introduction to WarGame - CONFidence & OWASP EU" - Przemyslaw 'rezos' Skowron 
5:45pm - 6:45pm ... "Introduction to Web Applications Security" - Filip Palian 

===OWASP Partnership during QAFA and TMS===
7-8th of April 2008 there will be two interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership: 
- TMS - "Test Management Summit" 
- QAFA - "Quality for Financial Applications" 
During meetings there will be special talk about OWASP Testing metodology. 
http://www.bettersoftware.eu/archive/QAFA-TMS/

==2007==

===On 06th September 2007===
6:00pm - 7:00pm ... "OWASP" - Robert 'shadow' Pajak 
7:00pm - 8:00pm ... "OWASP SPoC" - Przemyslaw 'rezos' Skowron 
8:00pm - 9:00pm ... "Penetration tests OWASP in practice" - Jarek Sajko 

===Presentation===
* Presentation: OWASP Intro By Robert 'Shadow' Pajak - [[Media:OWASP_about.pdf | Slides]]
* Presentation: OWASP SPoC By Przemyslaw 'rezos' Skowron - [[Media:OWASP_Day_Poland_rezos.pdf | Slides]]
* Presentation: Penetration tests OWASP in practice By Jarek Sajko - [[Media:OWASP_practice.pdf | Slides]]

===On 19th April 2007===
5:30pm - 6:30pm ... "Application security testing - attack trends" - Przemyslaw Skowron 
6:30pm - 7:30pm ... Auditor work standards 
7:30pm - 7:45pm ... OWASP Inauguration

You could join free, registration not required. Please invite all friends interested in security.

=Partners=

Meeting(s): [[Image:ISSA_Poland.jpg |center|upright=0.5 | ISSA Poland]]

Sponsor of OWASP Krakow meetings: [[Image:Logo.gif |center|upright=0.5 | Krakowski Park Technologiczny]]
[[Category:OWASP Chapter]]
[[Category:Europe]]

__NOTOC__ <headertabs />