OWASP - User contributions [en]

OWASP German Chapter Stammtisch Initiative/München

2018-09-19T08:38:39Z

Mirko Dziadzka: Add talk from September

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (92.) Münchner OWASP-Stammtisch am Di, 18.09.2018, um 19:00 Uhr.
* Agenda:

:*Vortrag: Weiterentwicklung des OWASP ModSecurity Core Ruleset (Mirko Dziadzka) Das OWASP Core Ruleset Project stellt eine wertvolle Resource da, um generische Angriffe auf Web Applikation zu erkennen. Leider ist es sehr stark an ModSecurity als Sprache gebunden. Wir haben dieses Jahr ein Projekt gestartet um das zu ändern, und das Core Ruleset auch für andere Web Application Firewalls verfügbar zu machen. Dieser Vortrag stellt die Gründe, das Vorgehen und den aktuellen Stand vor. Es ist im wesentlichen derselbe Vortrag, wie ihn der Vortragende bereits auf dem CRS Meeting am Rande der OWASP AppSecEU in London gehalten hat, allerdings mit anderem Schwerpunkt und gerne auch mit ausführlicher Diskussionsrunde. Mirko Dziadzka beschäftigt sich seit 20 Jahren mit Application Security, seit mehr als 12 Jahren mit der Entwicklung von (kommerziellen) Web Application Firewalls und seit einem Jahr auch mit ModSecurity 3. Er hat bereits einige Vorträge auf dem OWASP Stammtisch München gehalten.
:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für unsere nächsten Stammtische ab Oktober!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* Wir suchen Vorträge für die weiteren Stammtische in 2018! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://lists.owasp.org/mailman/listinfo/owasp-germany Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==
* September 2018: Weiterentwicklung OWASP Core Rule Set ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-crs-20180918 Folien])
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: IoT-Security: kleine Dinge – große Wirkung (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

User:Mirko Dziadzka

2015-12-07T08:40:34Z

Mirko Dziadzka: add slides

My contributions to OWASP:

* Co-author of the German OWASP paper [[Best_Practices: Einsatz von Web Application Firewalls]]
* active member of the local [[OWASP German Chapter Stammtisch Initiative#München|Munich Stammtisch]]
** Slides (in German) of my November 2015 talk: [http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 HTTP/2]
** Slides (in German) of my March 2014 talk: [http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 ThreadFix als Beispiel für ein Vulnerability Management System]
** Slides (in German) from the november 2009 talk: [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Was eine WAF (nicht) kann]

OWASP German Chapter Stammtisch Initiative/München

2015-11-18T09:41:44Z

Mirko Dziadzka: add link for the slides from November, 17th

__NOTOC__

{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (65.) Münchner OWASP-Stammtisch, am Di, 17.11.2015, um 19:00 Uhr.
* Vortrag: HTTP/2 - was ist das und warum will man das [oder auch nicht] (Mirko Dziadzka) Seit diesem Jahr ist der HTTP/2-Standard offiziell verabschiedet. Alle großen Browser unterstützen ihn inzwischen, die Server werden langsam ausgerollt. Dieser Vortrag beleuchtet die wesentlichen Unterschiede zwischen HTTP/1.1 und HTTP/2, was hat man sich dabei gedacht, wo gibt es Vorteile, was kann schief gehen und was können wir in Zukunft erwarten. Abgerundet wird er mit einer Liste von ein paar Tools (aus Admin Sicht, nicht aus Pen-Tester Sicht). Wie immer freuen wir, der Vortragende und der Stammtisch, uns auf rege Diskussionen über Ecken mit potentiellen Problemen für die Security ;-) Der Vortragende Mirko Dziadzka ist seit über 20 Jahren in der IT unterwegs. Primär im Bereich Unix, Internet und Security; von Konzeption über Implementation bis zum Betrieb; in Hochschule, Startup und Großunternehmen. Aktuell interessiert an Web-Application Security, Software Entwicklung sowie Cloud Computing. Aktiv in OWASP und GUUG.

* '''Ort: Restaurant Villa Flora''', Hansastrasse 44, 80686 München, Tel. 089 / 54 71 75 75,
: [http://www.villaflora.gymnas.de/anfahrt Anreise:]
:* Mit öffentlichen Verkehrsmitteln: Heimeranplatz U4/U5 oder S7, dann 3 Minuten zu Fuß Richtung Hansastraße.
:* Mit dem Auto: Mittlerer Ring Ausfahrt Tübingerstr., von der Tübingerstr. rechts einbiegen in die Dillwächterstr, am Ende rechts einbiegen in die Hansastr, nach 150 Metern auf der rechten Seite Parkplatz Villa Flora.

* Wir haben einen separaten Raum (rechts vom Eingang) für 12 Personen reserviert - im Zweifelsfall bitte einfach am Tresen (links vom Eingang) nach dem "OWASP-Stammtisch" oder nach dem "Stammtisch im separaten Raum" fragen. Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Tom Schoen | email = tom.schoen@owasp.org }} oder {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.

* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht. 
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Tom, Christoph und Torsten)

== Geplante Stammtisch-Vorträge ==

* Dezember 2015: Weihnachtsferien - KEIN OWASP-Stammtisch
* 19. Januar 2016 The unsatisfied Security Requests of the Web (Bastian Braun)
* Wir suchen Vorträge für die weiteren Stammtische in 2016!

Möchte jemand einen Vortrag halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. 

Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.'' 

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Tom Schoen | email = tom.schoen@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://lists.owasp.org/mailman/listinfo/owasp-germany Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

Die Details der letzten "HowTo-Stammtisch"-Umfrage sind [https://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative/M%C3%BCnchen#Details_zur_letzten_Stammtisch-Umfrage_vom_September_2012 hier] zu finden.







== Bereits gehaltene Stammtisch-Vorträge ==
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX_-_Java_Management_Extensions_-_Hans-Martin_Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights_der_AppSecEU_und_Hack_in_the_Box_-_Christoph_Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks_IAPP_Summit_2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing_iOSApps_-_Bruce_Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112_CS-Tag_7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top_Ten_Defenses_v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP_MUC_Burp_Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP_MUC_csp_lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis_Anomalieerkennung_in_HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])



== Historisches ==
===== Details zur letzten Stammtisch-Umfrage vom September 2012 =====

Als Datenbasis dienen 19 gültig abgeschlossenen Umfragen von 19 Teilnehmern, genutzt wurde als technische Plattform [http://de.surveymonkey.com/ SurveyMonkey].

:1. Wie oft sollte der Münchner OWASP Stammtisch im Jahr stattfinden?
:: 73,7 % "Einmal im Monat"
:: 15,8 % "Alle zwei Monate"
:: 5,3 % jeweils für "Einmal im Quartal" und "Alle vier Monate"

:2. An welchen Wochentagen würdest Du zum Stammtisch kommen wollen?
:: 83,3 % "Di."
:: 77,8 % "Mi."
:: 44,4 % "Do."
:: 33,3 % "Mo."
:: 11,1 % "Sa."
:: 5,6 % jeweils für "Fr." und "So."

:3. An welcher Woche würde es Dir am besten passen, zum Stammtisch zu kommen?
:: 88,9 % "3. Woche des Monats"
:: 66,7 % "2. Woche des Monats"
:: 55,6 % "1. Woche des Monats"
:: 33,3 % "4. Woche des Monats"

:4. Was wäre die perfekte Uhrzeit für den Stammtisch?
:: 57,9 % "19:00"
:: 15,8 % "20:00"
:: 10,5 % jeweils für "18:00" und "19:30"
:: 5,3 % "17:00"

:5. In welchem Stadtbezirk sollte der Stammtisch stattfinden?
::Es wurde ein Bewertungsschema zugrunde gelegt. Pluspunkte brachten (absteigend) "Perfekt" (4), "Sehr gut" (3), "Gut" (2) und "Auch OK" (1). Neutral wurde "Meinetwegen" (0) gewertet; für "Eher nicht" gab es Punktabzug (-1), und für "No-Go Area!" doppelten Punktabzug (-2):
:: 3,56 jeweils für "Au-Haidhausen" und "Ludwigsvorstadt-Isarvorstadt"
:: 3,38 "Maxvorstadt"
:: 3,33 "Altstadt-Lehel"
:: 3,00 "Sendling"
:: 2,33 "Schwanthalerhöhe"
:: 2,00 "Schwabing-West"
:: [..]
:: 0,25 "Hadern"
:: 0,13 "Bogenhausen"
:: 0,00 "Milbertshofen-Am Hart"
:: -0,10 "Feldmoching-Hasenbergl"

:6. Konkrete Vorschläge zu Locations in diesen Stadtbezirken:
:: <li> "Wirtshaus zum Wendlinger"
:: <li> "SAX"
:: <li> "Kleine Schmausefalle"
:: <li> "Altes Kreuz"
:: <li> "Nockherberg"

:7. Was ich am Stammtisch ändern würde:
:: <li> "Thema vorgeben / vorbereiten, wenn schon kein Vortrag statt findet" wurde 3 x genannt
:: <li> "Mehr Workshops / Vorträge" wurde 2 x genannt
:: <li> "Location" / "ÖPNV" (war damals "Cafe Waldfrieden")
:: <li> "Einladung 1,0 bis 1,5 Wochen vorher raus, nicht knapper"
:: <li> "Mehr Schwerpunkte"
:: <li> "ggf. Split in 'Technischen Stammtisch' und 'Sozialisierungs-Stammtisch'"

:8. Was ich am Stammtisch unbedingt behalten möchte:
:: <li> "Gemütliches Beisammensein / Zeit zum Ratschen unter Gleichgesinnten / Lockere Gespräche"
:: <li> "Kontakte / Community / Zusammenstellung der Menschen"
:: <li> "Fachvorträge"
:: <li> "Feilen an OWASP-Projekten"
:: <li> "(Weiß-)Bier" wurde 2 x genannt

:9. Zum Abschluss wollte ich schon immer mal loswerden:
:: <li> "Lob für die Organisation" wurde 4 x genannt

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]] [[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2014-03-18T08:05:28Z

Mirko Dziadzka: add slides for ThreadFix presentation

=== München ===

===== Allgemeines =====

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt. 

* In der Stadtmitte mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
*Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.

Die Details der letzten "HowTo-Stammtisch"-Umfrage sind [https://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative/M%C3%BCnchen#Details_zur_letzten_Stammtisch-Umfrage_vom_September_2012 hier] zu finden.



===== Der 48. Münchner OWASP Stammtisch findet am 18.03.2014 statt =====

Es gibt diesmal zwei(!) Vorträge, genauer einen Vortrag und die Vorstellung eines neuen OWASP Projektes:

* Mirko Dziadzka: "Vulnerability Management Systeme - am Beispiel des Open Source Toosl ThreadFix, Subtitle: Gehalten von jemanden, der nicht wirklich Ahnung davon hat ;-)". Es ist eine offenen Diskussion und "ganz besonders feedback wie das andere machen" gewünscht. [http://www.denimgroup.com/resources-threadfix/ http://www.denimgroup.com/resources-threadfix/], [https://github.com/denimgroup/threadfix/wiki https://github.com/denimgroup/threadfix/wiki]

* Stefan Burgmair, Florian Stahl: OWASP Top 10 Privacy Risks "Die Datenerhebungs- und Verarbeitungsmethoden von Google, Facebook & co. stehen häufig in der Kritik und dank Trackern wie Google AdSense können auch kleinere Webplattformen beim Datensammeln mithelfen. Aber wodurch wird der Datenschutz bei Webanwendungen tatsächlich bedroht? Wie werden Daten erhoben, wie verarbeitet und wie bedeutsam sind Angriffe auf Webplattformen? Ein neues OWASP-Projekt soll die bedeutendsten Risiken identifizieren und Entwicklern und Managern dadurch die Möglichkeit geben Datenschutz bei der Erstellung und Pflege von Webanwendungen besser zu berücksichtigen. - In unserem Vortrag möchten wir über Datenschutz bei Webanwendungen im allgemeinen sprechen, sowie den Zweck und die Rahmenbedingungen des Projekts erläutern." [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project]

Wir sind zurück im H A C K E R H A U S.

Spontane Zaungäste sind wie immer gerne gesehen.



===== Um 19:00 im Hackerhaus =====

falls mit Vortrag, dann im "Klavierzimmer" (Nebenraum), ansonsten einfach fragen:

Sendlinger Str. 14 
80331 München 
Tel. 089 / 260 50 26 

[http://www.hackerhaus.de www.hackerhaus.de]

Es ist für 10 Personen "eine ruhige Ecke" reserviert - im Zweifelsfall bitte einfach am Tresen nach dem OWASP-Stammtisch oder "Reinhardt" fragen. Um vorhergehende '''Anmeldung per Mail bei [mailto:ralf.reinhardt@owasp.org Ralf Reinhardt] wird gebeten''', um ggf. weitere Ressourcen reservieren zu lassen - '''spontane "Zaungäste" sind aber jederzeit ebenso willkommen'''.


Öffentlicher Nahverkehr:

Ca. 400 m vom Marienplatz oder 450 m vom Sendlinger Tor entfernt.


===== Geplante Stammtisch-Vorträge =====

* 18.03.2014: Vorschläge bitte an Ralf. Danke!
* 22.04.2014: Falls niemand was Besseres hat: Wiederholung des Vortrags [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/Grundschutz/2GS_Tag_2013/2_IT-Grund_2013_Reinhardt.pdf?__blob=publicationFile "Absicherung von Web-Anwendungen in der Praxis - Highlights aus den OWASP TOP 10"] vom 2. IT-Grundschutztag 2013 des BSI von Ralf Reinhardt
* 20.05.2014: TBA

Möchte jemand einen Vortrag halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. 

Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.'' 

===== Bereits gehaltene Stammtisch-Vorträge =====
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
*Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier),[[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
*Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
*November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
*Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
*Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
*Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top_Ten_Defenses_v9.ppt|Folien - Top Ten Defenses]]
*März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP_MUC_Burp_Plugin.pdf|Folien - Burp Plugin]]
*Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP_MUC_csp_lightning-talk.pdf|Folien - Content Security Policy]]
*Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
*November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
*Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] (Ralf Reinhardt)
*Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
*Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und Ralf Reinhardt)
*Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
*November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis_Anomalieerkennung_in_HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
*Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
*März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
*November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
*Oktober 2009: Eine Kurzeinführung in Injection-Angriffe (Ralf Reinhardt)

===== Spread the word =====

Wie immer möchte ich jeden bitten, der Menschen kennt, von denen er sich vorstellen könnte, dass Sie kommen möchten und könnten, diese Einladung an eben diese Menschen weiter zu leiten. 

Thema und hinreichende Bedingung ist in erster Linie (Web) Application Security. Man muss überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht. 

Schönen Gruß, [mailto:ralf.reinhardt@owasp.org Ralf Reinhardt]

===== Details zur letzten Stammtisch-Umfrage vom September 2012 =====

Als Datenbasis dienen 19 gültig abgeschlossenen Umfragen von 19 Teilnehmern, genutzt wurde als technische Plattform [http://de.surveymonkey.com/ SurveyMonkey].

:1. Wie oft sollte der Münchner OWASP Stammtisch im Jahr stattfinden?
:: 73,7 % "Einmal im Monat"
:: 15,8 % "Alle zwei Monate"
:: 5,3 % jeweils für "Einmal im Quartal" und "Alle vier Monate"

:2. An welchen Wochentagen würdest Du zum Stammtisch kommen wollen?
:: 83,3 % "Di."
:: 77,8 % "Mi."
:: 44,4 % "Do."
:: 33,3 % "Mo."
:: 11,1 % "Sa."
:: 5,6 % jeweils für "Fr." und "So."

:3. An welcher Woche würde es Dir am besten passen, zum Stammtisch zu kommen?
:: 88,9 % "3. Woche des Monats"
:: 66,7 % "2. Woche des Monats"
:: 55,6 % "1. Woche des Monats"
:: 33,3 % "4. Woche des Monats"

:4. Was wäre die perfekte Uhrzeit für den Stammtisch?
:: 57,9 % "19:00"
:: 15,8 % "20:00"
:: 10,5 % jeweils für "18:00" und "19:30"
:: 5,3 % "17:00"

:5. In welchem Stadtbezirk sollte der Stammtisch stattfinden?
::Es wurde ein Bewertungsschema zugrunde gelegt. Pluspunkte brachten (absteigend) "Perfekt" (4), "Sehr gut" (3), "Gut" (2) und "Auch OK" (1). Neutral wurde "Meinetwegen" (0) gewertet; für "Eher nicht" gab es Punktabzug (-1), und für "No-Go Area!" doppelten Punktabzug (-2):
:: 3,56 jeweils für "Au-Haidhausen" und "Ludwigsvorstadt-Isarvorstadt"
:: 3,38 "Maxvorstadt"
:: 3,33 "Altstadt-Lehel"
:: 3,00 "Sendling"
:: 2,33 "Schwanthalerhöhe"
:: 2,00 "Schwabing-West"
:: [..]
:: 0,25 "Hadern"
:: 0,13 "Bogenhausen"
:: 0,00 "Milbertshofen-Am Hart"
:: -0,10 "Feldmoching-Hasenbergl"

:6. Konkrete Vorschläge zu Locations in diesen Stadtbezirken:
:: <li> "Wirtshaus zum Wendlinger"
:: <li> "SAX"
:: <li> "Kleine Schmausefalle"
:: <li> "Altes Kreuz"
:: <li> "Nockherberg"

:7. Was ich am Stammtisch ändern würde:
:: <li> "Thema vorgeben / vorbereiten, wenn schon kein Vortrag statt findet" wurde 3 x genannt
:: <li> "Mehr Workshops / Vorträge" wurde 2 x genannt
:: <li> "Location" / "ÖPNV" (war damals "Cafe Waldfrieden")
:: <li> "Einladung 1,0 bis 1,5 Wochen vorher raus, nicht knapper"
:: <li> "Mehr Schwerpunkte"
:: <li> "ggf. Split in 'Technischen Stammtisch' und 'Sozialisierungs-Stammtisch'"

:8. Was ich am Stammtisch unbedingt behalten möchte:
:: <li> "Gemütliches Beisammensein / Zeit zum Ratschen unter Gleichgesinnten / Lockere Gespräche"
:: <li> "Kontakte / Community / Zusammenstellung der Menschen"
:: <li> "Fachvorträge"
:: <li> "Feilen an OWASP-Projekten"
:: <li> "(Weiß-)Bier" wurde 2 x genannt

:9. Zum Abschluss wollte ich schon immer mal loswerden:
:: <li> "Lob für die Organisation" wurde 4 x genannt

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

OWASP German Chapter Stammtisch Initiative/München

2013-11-20T09:01:15Z

Mirko Dziadzka: add link to slide for the 2013-11-19 event

=== München ===

===== Allgemeines =====

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt. 

* In der Stadtmitte mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
*Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.

Die Details der letzten "HowTo-Stammtisch"-Umfrage sind [https://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative/M%C3%BCnchen#Details_zur_letzten_Stammtisch-Umfrage_vom_September_2012 hier] zu finden.



===== Der 45. Münchner OWASP Stammtisch findet am 19.11.2013 statt =====

Mirko Dziadska erzählt uns "Was eine WAF (immer noch nicht) kann". 
Eine Web Application Firewall (WAF) ist eine der eigentlichen Anwendung vorgelagerte Schutzsoftware, die nicht wie z.B. eine klassische Firewall den Zugriff auf Portebene sperrt oder freigibt sondern sich anschaut, was an Daten über den Port 80 (bzw. 443) läuft. Entdeckt sie in den Daten "etwas Verdächtiges" kann sie "etwas tun". Was das mit dem jeweiligen "etwas" auf sich hat wird uns Mirko erzählen.

Diesmal ist der Nebenraum "Klavierzimmer" (im Keller, gleich am Eingang die Treppe runter) reserviert, im Zweifel bitte nach "OWASP-Stammtisch" oder der "Reservierung für Reinhardt" fragen.

Spontane Zaungäste sind wie immer gerne gesehen.

===== Um 19:00 im Hackerhaus =====

falls mit Vortrag, dann im "Klavierzimmer" (Nebenraum), ansonsten einfach fragen:

Sendlinger Str. 14 
80331 München 
Tel. 089 / 260 50 26 

[http://www.hackerhaus.de www.hackerhaus.de]

Es ist für 10 Personen "eine ruhige Ecke" reserviert - im Zweifelsfall bitte einfach am Tresen nach dem OWASP-Stammtisch oder "Reinhardt" fragen. Um vorhergehende '''Anmeldung per Mail bei [mailto:ralf.reinhardt@owasp.org Ralf Reinhardt] wird gebeten''', um ggf. weitere Ressourcen reservieren zu lassen - '''spontane "Zaungäste" sind aber jederzeit ebenso willkommen'''.


Öffentlicher Nahverkehr:

Ca. 400 m vom Marienplatz oder 450 m vom Sendlinger Tor entfernt.



===== Geplante Stammtisch-Vorträge =====

* Dezember: Weihnachtsfeiern, Stammtisch fällt aus
* 21.01.2014: "Security Project Management, Case-Study: Implementation of Prepaid Billing Solution" (Risk-Management, Integration / Stakeholder Management, Clobbering COTS until it fits IT Security Requirements, Virtual Lessons Learned) von Jens Bitter
* 18.02.2014: Wiederholung des Vortrags [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/Grundschutz/2GS_Tag_2013/2_IT-Grund_2013_Reinhardt.pdf?__blob=publicationFile "Absicherung von Web-Anwendungen in der Praxis - Highlights aus den OWASP TOP 10"] vom 2. IT-Grundschutztag 2013 des BSI von Ralf Reinhardt
* 18.03.2014: Dein Vortrag hier, bitte kurze Info an Ralf

Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. 

Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.'' 

===== Bereits gehaltene Stammtisch-Vorträge =====
*November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
*Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL (Achim Hoffmann), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
*Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
*Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top_Ten_Defenses_v9.ppt|Folien - Top Ten Defenses]]
*März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP_MUC_Burp_Plugin.pdf|Folien - Burp Plugin]]
*Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP_MUC_csp_lightning-talk.pdf|Folien - Content Security Policy]]
*Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
*November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
*Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] (Ralf Reinhardt)
*Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
*Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] (Achim Hoffmann und Ralf Reinhardt)
*Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
*November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis_Anomalieerkennung_in_HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
*Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und Achim Hoffmann), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
*März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
*November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
*Oktober 2009: Eine Kurzeinführung in Injection-Angriffe (Ralf Reinhardt)

===== Spread the word =====

Wie immer möchte ich jeden bitten, der Menschen kennt, von denen er sich vorstellen könnte, dass Sie kommen möchten und könnten, diese Einladung an eben diese Menschen weiter zu leiten. 

Thema und hinreichende Bedingung ist in erster Linie Web Application Security. Man muss überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht. 

Schönen Gruß, [mailto:ralf.reinhardt@owasp.org Ralf Reinhardt]

===== Details zur letzten Stammtisch-Umfrage vom September 2012 =====

Als Datenbasis dienen 19 gültig abgeschlossenen Umfragen von 19 Teilnehmern, genutzt wurde als technische Plattform [http://de.surveymonkey.com/ SurveyMonkey].

:1. Wie oft sollte der Münchner OWASP Stammtisch im Jahr stattfinden?
:: 73,7 % "Einmal im Monat"
:: 15,8 % "Alle zwei Monate"
:: 5,3 % jeweils für "Einmal im Quartal" und "Alle vier Monate"

:2. An welchen Wochentagen würdest Du zum Stammtisch kommen wollen?
:: 83,3 % "Di."
:: 77,8 % "Mi."
:: 44,4 % "Do."
:: 33,3 % "Mo."
:: 11,1 % "Sa."
:: 5,6 % jeweils für "Fr." und "So."

:3. An welcher Woche würde es Dir am besten passen, zum Stammtisch zu kommen?
:: 88,9 % "3. Woche des Monats"
:: 66,7 % "2. Woche des Monats"
:: 55,6 % "1. Woche des Monats"
:: 33,3 % "3. Woche des Monats"

:4. Was wäre die perfekte Uhrzeit für den Stammtisch?
:: 57,9 % "19:00"
:: 15,8 % "20:00"
:: 10,5 % jeweils für "18:00" und "19:30"
:: 5,3 % "17:00"

:5. In welchem Stadtbezirk sollte der Stammtisch stattfinden?
::Es wurde ein Bewertungsschema zugrunde gelegt. Pluspunkte brachten (absteigend) "Perfekt" (4), "Sehr gut" (3), "Gut" (2) und "Auch OK" (1). Neutral wurde "Meinetwegen" (0) gewertet; für "Eher nicht" gab es Punktabzug (-1), und für "No-Go Area!" doppelten Punktabzug (-2):
:: 3,56 jeweils für "Au-Haidhausen" und "Ludwigsvorstadt-Isarvorstadt"
:: 3,38 "Maxvorstadt"
:: 3,33 "Altstadt-Lehel"
:: 3,00 "Sendling"
:: 2,33 "Schwanthalerhöhe"
:: 2,00 "Schwabing-West"
:: [..]
:: 0,25 "Hadern"
:: 0,13 "Bogenhausen"
:: 0,00 "Milbertshofen-Am Hart"
:: -0,10 "Feldmoching-Hasenbergl"

:6. Konkrete Vorschläge zu Locations in diesen Stadtbezirken:
:: <li> "Wirtshaus zum Wendlinger"
:: <li> "SAX"
:: <li> "Kleine Schmausefalle"
:: <li> "Altes Kreuz"
:: <li> "Nockherberg"

:7. Was ich am Stammtisch ändern würde:
:: <li> "Thema vorgeben / vorbereiten, wenn schon kein Vortrag statt findet" wurde 3 x genannt
:: <li> "Mehr Workshops / Vorträge" wurde 2 x genannt
:: <li> "Location" / "ÖPNV" (war damals "Cafe Waldfrieden")
:: <li> "Einladung 1,0 bis 1,5 Wochen vorher raus, nicht knapper"
:: <li> "Mehr Schwerpunkte"
:: <li> "ggf. Split in 'Technischen Stamtisch' und 'Sozialisierungs-Stamtisch'"

:8. Was ich am Stammtisch unbedingt behalten möchte:
:: <li> "Gemütliches Beisammensein / Zeit zum Ratschen unter Gleichgesinnten / Lockere Gespräche"
:: <li> "Kontakte / Community / Zusammenstellung der Menschen"
:: <li> "Fachvorträge"
:: <li> "Feilen an OWASP-Projekten"
:: <li> "(Weiß-)Bier" wurde 2 x genannt

:9. Zum Abschluss wollte ich schon immer mal loswerden:
:: <li> "Lob für die Organisation" wurde 4 x genannt

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

Web Application Firewall

2011-03-09T10:30:32Z

Mirko Dziadzka: fix broken link

{{Template:Countermeasure}}

==Description==

A web application firewall (WAF) is an appliance, server plugin, or filter that applies a set of rules to an HTTP conversation. Generally, these rules cover common attacks such as [[Cross-site Scripting (XSS)]] and [[SQL Injection]]. By customizing the rules to your application, many attacks can be identified and blocked. The effort to perform this customization can be significant and needs to be maintained as the application is modified.

A far more detailed description is available at [http://en.wikipedia.org/wiki/Application_firewall Wikipedia]

==Strengths and Weaknesses==

==Important Selection Criteria==

* Protection Against OWASP Top Ten!
* Very Few False Positives (i.e., should NEVER disallow an authorized request)
* Strength of Default (Out of the Box) Defenses
* Power and Ease of Learn Mode
* Types of Vulnerabilities it can prevent.
* Detects disclosure and unauthorized content in outbound reply messages, such as credit-card and Social Security numbers.
* Both Positive and Negative Security model support.
* Simplified and Intuitive User Interface.
* Cluster mode support.
* High Performance (milliseconds latency).
* Complete Alerting, Forensics, Reporting capabilities.
* Web Services\XML support.
* Brute Force protection.
* Ability to Active (block and log), Passive (log only) and bypass the web trafic.
* Ability to keep individual users constrained to exactly what they have seen in the current session
* Ability to be configured to prevent ANY specific problem (i.e., Emergency Patches)
* Form Factor: Software vs. Hardware (Hardware generally preferred)

You may also use [https://www.owasp.org/index.php/Category:OWASP_Best_Practices:_Use_of_Web_Application_Firewalls Best Practices: Use of Web Application Firewalls] to find out where and when to use a WAF and/or you may find
the [http://www.webappsec.org/projects/wafec/ Web Application Firewall Evaluation Criteria] useful for evaluating the performance and other characteristics of a WAF.

The [[London Chapter WAF event]] held in 2006 has some comparative info amongst the WAF Vendors that participated in the event.

==OWASP Tools Of This Type==

The [http://www.owasp.org/index.php/Category:OWASP_Stinger_Project OWASP Stinger Project] is not a full blown WAF, but it is a strong Java/J2EE input validation filter that can be put in front of your application.

==Well Known Open Source Tools Of This Type==

* [http://www.aqtronix.com/?PageID=99 AQTronix - WebKnight]
* [http://www.modsecurity.org/ Trustwave SpiderLabs - ModSecurity]

==Commercial Tools from OWASP Members Of This Type==

These vendors have decided to support OWASP by becoming [[Membership|members]]. OWASP appreciates the support from these organizations, but cannot endorse any commercial products or services.

* [http://www.artofdefence.com/en/products/hyperguard.html art of defence - hyperguard]
* [https://www.trustwave.com/web-application-firewall/ Trustwave - WebDefend Web Application Firewall]
* [http://www.denyall.com/produits.html?set_lang=en Deny All - rWeb]
* [http://fortifysoftware.com/products/defender/ Fortify Software - Defender]
* [http://www.imperva.com/products/securesphere/web_application_firewall.html Imperva - SecureSphere™]

==Other Well Known Commercial Tools Of This Type==

* [http://www.applicure.com Applicure - DotDefender]
* [http://www.radware.com/Solutions/Enterprise/Security/WebApplicationFirewall.aspx Radware AppWall]
* [http://www.armorlogic.com/ Armorlogic - Profense]
* [http://www.barracudanetworks.com/ns/products/web-application-controller-overview.php Barracuda Networks - Application Firewall]
* [http://www.bee-ware.net/en/product/i-sentry/ Bee-Ware - iSentry]
* [http://binarysec.com/ BinarySec - Application Firewall]
* [http://www.bugsec.com/index.php?q=WebSniper BugSec - WebSniper]
* [http://www.cisco.com/en/US/products/ps9586/index.html Cisco - ACE Web Application Firewall]
* [http://www.citrix.com/English/ps2/products/product.asp?contentID=25636 Citrix - Application Firewall]
* [http://www.eeye.com/html/products/secureiis/index.html eEye Digital Security - SecureIIS]
* [http://www.f5.com/products/big-ip/product-modules/application-security-manager.html F5 - Application Security Manager]
* [http://forumsys.com/ Forum Systems - Xwall, Sentry]
* [http://www.webscurity.com/products.htm mWEbscurity - webApp.secure]
* [http://www.phion.com/INT/products/websecurity/Pages/default.aspx Phion / Visonys - Airlock]
* [http://www.privacyware.com/intrusion_prevention.html Privacyware - ThreatSentry IIS Web Application Firewall]
* [http://www.protegrity.com/WebApplicationFirewall Protegrity - Defiance TMS - Web Application Firewall]
* [http://www.xtradyne.com/ Xtradyne - Application Firewalls]

==Related Threats==

==Related Attacks==

==Related Vulnerabilities==

==Related Countermeasures==

[[Category: Control]]
[[Category:OWASP WAF]]

OWASP German Chapter Stammtisch Initiative

2010-01-21T16:22:10Z

Mirko Dziadzka: /* Bereits gehaltene Stammtisch-Vorträge */

==Was ist ein OWASP Stammtisch?==
Ein OWASP Stammtisch ist ein regelmäßiges Treffen von OWASP Interessierten in einem Restaurant oder einer Gaststätte. Es gibt zumeist kein festes Programm mit Vorträgen. Der Austausch von Ideen und Erfahrungen soll im Vordergrund stehen. In kleineren Gruppen reicht ein Laptop für Präsentationen, da zumeist keine technischen Möglichkeiten für Vorführungen vorhanden sind.

Ein lokaler Verantworlicher lädt zum Stammtisch über die German Chapter Mailing Liste ein. Es gelten grundästzlich dieselben [http://www.owasp.org/index.php/Chapter_Rules Regeln wie bei Chapter Meetings].

Die lokalen OWASP Stammtische sollen Interessierten Gelegenheit zum Austausch und zum Knüpfen von Kontakten geben. Wenn Sie OWASP selbst kennen lernen wollen, dann besuchen Sie einen Stammtisch in Ihrer Nähe. Wenn es noch keinen gibt, dann gründen Sie einfach einen.

==Stammtisch oder Chapter?==
Stammtische sind keine Konkurrenz für Chapter sondern eine willkommene Ergänzung. Sie ermöglichen regelmäßige Treffen im Rahmen der OWASP Comunity ohne die organisatorischen Hürden für einen regulären Chapter-Betrieb. Erreicht ein Stammtisch die "kritische" Masse für einen Chapter-Betrieb, dann ist eine Aufwertung in eine lokale Chapter-Gründung ebenfalls höchst willkommen.

== Lokale Stammtische ==

==== München ====

===== Allgemeines =====

Der Münchner Stammtisch findet ab 2010 '''jeden dritten Dienstag im Monat um 19:00 Uhr '''im Restaurant / Biergarten '''"Löwe und Raute" in der Nymphenburger Str. 64 in 80335 München''' statt. 

Es ist immer für 12 Personen reserviert, bei gutem Wetter (t > 18,0 °C, kein Niederschlag, Tageslicht) im Biergarten, bei schlechtem Wetter im Nebenraum - im Zweifelsfall bitte einfach am Tresen nach dem OWASP-Stammtisch fragen. Um vorhergehende '''Anmeldung per Mail bei [mailto:ralf.reinhardt@owasp.org Ralf Reinhardt] wird dringend gebeten''', um ggf. weitere Ressourcen reservieren zu lassen.

===== Der 8. Münchner OWASP Stammtisch am 19.01.2010 =====

Schwerpunkte bei diesem Stammtisch: "Programmplanung" 

Wir sind (noch immer) auf der Suche nach einer zentralen, aber ruhigen Location, in der auch ungestört Vorträge bei bezahl- und brauchbarem Catering gehalten werden können. Hierzu sind Ideen und Vorschläge höchst willkommen. 

BTW: Die Umfrage "Welcher Tag für den Stammtisch?" ist gelaufen: Der Dienstag hat gewonnen. Applaus, Applaus, Applaus!

===== Um 19:00 im "Löwe und Raute" =====


Gasthaus Löwe und Raute Nymphenburger Str. 64 80335 München Tel. 089 / 130 143 97 

[http://www.loeweundraute.com Homepage], [http://maps.google.de/maps?f=q&source=s_q&hl=de&geocode=&q=Nymphenburger+Str.+64,+m%C3%BCnchen&sll=53.87844,6.152344&sspn=10.478551,38.012695&ie=UTF8&ll=48.152373,11.548777&spn=0.011567,0.037122&z=15&iwloc=A Google Maps], [http://www.mvv-muenchen.de/de/home/fahrgastinformation/efa/fahrtauskunft/index.html MVV zum selber tippen]

===== Geplante Stammtisch-Vorträge =====

Wir haben bereits einige interessante Themen aufgespürt, zu denen wir eventuell einen Vortragenden gewinnen können, der uns darüber mehr erzählt:

*ISO 27001
*ZK Framework

Sobald wir eine konkrete Zusage haben, werde ich das bei der Ankündigung des jeweiligen Termins mit bekannt geben. 

Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.'' 

===== Bereits gehaltene Stammtisch-Vorträge =====

* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien gibt es hier.]
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe (Ralf Reinhardt)

===== Spread the word =====

Wie immer möchte ich jeden bitten, der Menschen kennt, von denen er sich vorstellen könnte, dass Sie kommen möchten und könnten, diese Einladung an eben diese Menschen weiter zu leiten. 

Thema und hinreichende Bedingung ist in erster Linie Web Application Security. Man muss überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht. 

Schönen Gruß, [mailto:ralf.reinhardt@owasp.org Ralf Reinhardt]

==== Frankfurt ====

===== Allgemeines =====

Ähnlich wie in München soll der Stammtisch hauptsächlich zum lockeren Austausch und Netzwerken dienen.

Eingeladen sind alle Interessierten an

*Application Security
*Web Application Security
*Secure Software Lifecycle
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Anwendungssicherheit und Metriken
*und natürlich an OWASP selbst

===== Der 2. Frankfurter OWASP Stammtisch findet Mitte Januar statt (genauer Termin tbd) =====

Liebe Freunde von OWASP,

der 2. OWASP Stammtisch Frankfurt wird wieder in der [http://maps.google.de/places/de/frankfurt-am-main/kasseler-stra%C3%9Fe/1/-arche-nova Arche Nova, Kasseler Str. 1a, Frankfurt a.M.] stattfinden.

Ich bitte um eine kurze Anmeldung an [mailto:boris@owasp.org boris@owasp.org]. Wer kommen möchte, aber noch keinen aus der OWASP-Gemeinde kennt, fragt einfach an der Theke.

 Bis zum 12.11.2009 [mailto:boris@owasp.org Boris Hemkemeier]

==== Stuttgart ====

===== 1. Stuttgarter Stammtisch am 30.11. um 19 Uhr im Restaurant Columbus =====

Das Restarant Columbus (http://www.columbus-stuttgart.de/ - steht aber nicht viel drauf). ist direkt neben dem Universitätscampus Vaihingen, daher mit Auto und Bahn recht gut erreichbar.

Das erste Treffen dient dem Beschnuppern und gemeinsamen Pläne schmieden für die nächsten Male, also:

*Kennenlernen
*Standortwechsel?
*Interessenslage für Vorträge
*Sonstiges

===== Der Stammtisch wird dann ab Februar 2010 jeden ersten Montag im Monat stattfinden. =====

Wer also seine Jahresplanung gerade gestaltet: Kalender auf und gleich reinschreiben :)

Für die Planung wäre es spitze, wenn mir potentielle Interessenten bis 27.11. eine kurze Mail an
tglemser [at] tele-consulting.com schicken würden zwecks Reservierung.
Wer das verschwitzt darf aber auch kommen..

Wohlan, wir freuen uns auf Eure Teilnahme, sagt es Euren Kollegen und Freunden weiter.

Tobias

==== Düsseldorf ====

===== Coming soon! =====

Vorgeschlagen von: Sven Schlüter //TODO

==== Köln ====

===== Allgemeines =====

Der Kölner Stammtisch trifft sich zur Zeit alle zwei Monate. Es ist geplant zwischen Vorträgen und lockeren Diskussionen zu alternieren. Jeder ist herzlich willkommen und kann gerne noch Freunde, Kollegen, Interessierte mitbringen.

 

===== 2. Kölner OWASP Stammtisch am 13.01.2010 =====

wir treffen uns zum zweiten Kölner Stammtisch am 13.01.2010 um '''19:30Uhr'''.

Treffpunkt ist die Brauerei zur [http://maps.google.com/maps?f=q&source=s_q&hl=de&geocode=&q=k%C3%B6ln+Heumarkt+6&sll=50.939683,6.956542&sspn=0.032397,0.090895&ie=UTF8&ll=50.936026,6.961641&spn=0.0081,0.022724&z=16&iwloc=r1 Malzmühle] am Heumarkt.

Bitte gebt mir noch eine [mailto:ralf.allar@gmx.de Rückmeldung], falls ihr kommt, damit ich einen Überblick über die Zahl der Anwesenden erhalte. Danke!

bis zum 13.01 [mailto:ralf.allar@gmx.de Ralf Allar]

==== Hamburg ====

===== Coming soon! =====

Vorgeschlagen von: Dr. Dirk Wetter //TODO <headertabs />

User:Mirko Dziadzka

2009-11-30T13:39:19Z

Mirko Dziadzka:

User:Mirko Dziadzka

2009-11-30T13:32:45Z

Mirko Dziadzka:

User:Mirko Dziadzka

2009-11-30T13:28:47Z

Mirko Dziadzka: