OWASP - User contributions [en]

OWASP German Chapter Stammtisch Initiative/München

2020-01-11T16:12:34Z

T.Gigler: Einladung zum (105.) Münchner OWASP-Stammtisch am (4.) Di, 28.01.2020: Update der OWASP Top 10 Privacy Risks (Florian Stahl)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (105.) Münchner OWASP-Stammtisch am Di, 28.01.2020, um 19:00 Uhr (erst am 4. Dienstag).
* Agenda:
:*Vortrag: Update der OWASP Top 10 Privacy Risks ([[User:Florian Stahl|Florian Stahl]]) * Rückblick & Hintergrund * Aktuelle Version der OWASP Top 10 Privacy Risks (2014) * Update 2019/2020   - Review Methodik   - Diskussion & Update der “Risk Candidates”   - Risikobewertung (Schaden & Eintrittswahrscheinlichkeit)   - Offene Punkte * Fazit
:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die weiteren Stammtische in 2020!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==
* Februar 2020: 18.02.2020


* Wir suchen Vorträge für die weiteren Stammtische in 2020! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* November 2019: [[Media:Software_Composition_Analysis_OWASP_Stammtisch_-_Stanislav_Sivak.pdf|Open Source Software Flood: Learning to swim]] (Stanislav Sivak)
* Oktober 2019: [[Media:Security for Business Benefit - Buy Security Services or do it yourself - Jens Bitter.pdf|Security for Business Benefit - Buy Security Services or do it yourself (DIY)?]] (Jens Bitter)
* September 2019: Stack Overflow Considered Helpful! Deep Learning Security Nudges Towards Stronger Cryptography ([https://www.in.tum.de/cybertrust/members/felix-fischer/ Felix Fischer, PhD Student am Lehrstuhl für Cyber Trust, TU München]), vgl Publications: [https://www.in.tum.de/fileadmin/w00bws/cybertrust/papers/2019-USENIXSec-Fischer.pdf Usenix Security 2019 (Author Version)]
* Juli 2019: Bug Bounty Platforms: Empirical Analysis and Economic Challenges ([https://www.cybertrust.in.tum.de/index.php?id=101 Prof. Ph.D. Jens Grossklags, Lehrstuhl für Cyber Trust, TU München]), [https://www.cybertrust.in.tum.de/index.php?id=102&L=0 vgl Publikationen]: [https://www.jstor.org/stable/pdf/10.5325/jinfopoli.7.2017.0372.pdf Devising Effective Policies for Bug-Bounty Platforms and Security Vulnerability Discovery], [https://academic.oup.com/cybersecurity/article/3/2/81/4524054 Given enough eyeballs, all bugs are shallow? Revisiting Eric Raymond with bug bounty programs]
* Juni 2019 (100. Stammtisch): Vortrag 1: Security in a DevOps world (Martin Knobloch), Vortrag 2: Develop secure software with OWASP tools & guides (Martin Knobloch)
* Gastvortrag auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: [[Media:OWASP_Leitlinien+Werkzeuge_-_Torsten_Gigler.pdf|Leitlinien und Werkzeuge von der OWASP-Community]] (Torsten Gigler)
* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2020-01-06T12:22:20Z

T.Gigler: Publikation zum Vortrag verlinkt: Stack Overflow Considered Helpful! Deep Learning Security Nudges Towards Stronger Cryptography (Felix Fischer, PhD Student am Lehrstuhl für Cyber Trust, TU München)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (105.) Münchner OWASP-Stammtisch am Di, 28.01.2020, um 19:00 Uhr (erst am 4. Dienstag).
* Agenda:

:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die weiteren Stammtische in 2020!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==
* Februar 2020: 18.02.2020


* Wir suchen Vorträge für die weiteren Stammtische in 2020! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* November 2019: [[Media:Software_Composition_Analysis_OWASP_Stammtisch_-_Stanislav_Sivak.pdf|Open Source Software Flood: Learning to swim]] (Stanislav Sivak)
* Oktober 2019: [[Media:Security for Business Benefit - Buy Security Services or do it yourself - Jens Bitter.pdf|Security for Business Benefit - Buy Security Services or do it yourself (DIY)?]] (Jens Bitter)
* September 2019: Stack Overflow Considered Helpful! Deep Learning Security Nudges Towards Stronger Cryptography ([https://www.in.tum.de/cybertrust/members/felix-fischer/ Felix Fischer, PhD Student am Lehrstuhl für Cyber Trust, TU München]), vgl Publications: [https://www.in.tum.de/fileadmin/w00bws/cybertrust/papers/2019-USENIXSec-Fischer.pdf Usenix Security 2019 (Author Version)]
* Juli 2019: Bug Bounty Platforms: Empirical Analysis and Economic Challenges ([https://www.cybertrust.in.tum.de/index.php?id=101 Prof. Ph.D. Jens Grossklags, Lehrstuhl für Cyber Trust, TU München]), [https://www.cybertrust.in.tum.de/index.php?id=102&L=0 vgl Publikationen]: [https://www.jstor.org/stable/pdf/10.5325/jinfopoli.7.2017.0372.pdf Devising Effective Policies for Bug-Bounty Platforms and Security Vulnerability Discovery], [https://academic.oup.com/cybersecurity/article/3/2/81/4524054 Given enough eyeballs, all bugs are shallow? Revisiting Eric Raymond with bug bounty programs]
* Juni 2019 (100. Stammtisch): Vortrag 1: Security in a DevOps world (Martin Knobloch), Vortrag 2: Develop secure software with OWASP tools & guides (Martin Knobloch)
* Gastvortrag auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: [[Media:OWASP_Leitlinien+Werkzeuge_-_Torsten_Gigler.pdf|Leitlinien und Werkzeuge von der OWASP-Community]] (Torsten Gigler)
* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2020-01-06T12:05:34Z

T.Gigler: Folien des Vortrags: Security for Business Benefit - Buy Security Services or do it yourself (DIY)? (Jens Bitter) hochgeladen

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (105.) Münchner OWASP-Stammtisch am Di, 28.01.2020, um 19:00 Uhr (erst am 4. Dienstag).
* Agenda:

:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die weiteren Stammtische in 2020!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==
* Februar 2020: 18.02.2020


* Wir suchen Vorträge für die weiteren Stammtische in 2020! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* November 2019: [[Media:Software_Composition_Analysis_OWASP_Stammtisch_-_Stanislav_Sivak.pdf|Open Source Software Flood: Learning to swim]] (Stanislav Sivak)
* Oktober 2019: [[Media:Security for Business Benefit - Buy Security Services or do it yourself - Jens Bitter.pdf|Security for Business Benefit - Buy Security Services or do it yourself (DIY)?]] (Jens Bitter)
* September 2019: Stack Overflow Considered Helpful! Deep Learning Security Nudges Towards Stronger Cryptography (Felix Fischer, PhD Student am Lehrstuhl für Cyber Trust, TU München)
* Juli 2019: Bug Bounty Platforms: Empirical Analysis and Economic Challenges ([https://www.cybertrust.in.tum.de/index.php?id=101 Prof. Ph.D. Jens Grossklags, Lehrstuhl für Cyber Trust, TU München]), [https://www.cybertrust.in.tum.de/index.php?id=102&L=0 vgl Publikationen]: [https://www.jstor.org/stable/pdf/10.5325/jinfopoli.7.2017.0372.pdf Devising Effective Policies for Bug-Bounty Platforms and Security Vulnerability Discovery], [https://academic.oup.com/cybersecurity/article/3/2/81/4524054 Given enough eyeballs, all bugs are shallow? Revisiting Eric Raymond with bug bounty programs]
* Juni 2019 (100. Stammtisch): Vortrag 1: Security in a DevOps world (Martin Knobloch), Vortrag 2: Develop secure software with OWASP tools & guides (Martin Knobloch)
* Gastvortrag auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: [[Media:OWASP_Leitlinien+Werkzeuge_-_Torsten_Gigler.pdf|Leitlinien und Werkzeuge von der OWASP-Community]] (Torsten Gigler)
* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

File:Security for Business Benefit - Buy Security Services or do it yourself - Jens Bitter.pdf

2020-01-06T12:01:55Z

T.Gigler: Security for Business Benefit - Buy Security Services or do it yourself (DIY)? (Jens Bitter) - Strategische Geschäftsanforderungen an Sicherheit - Modellierung von Lösungsszenarien mit Abwägung Do / Buy (z.B. GRC, SOC) - Offene Disku...

Security for Business Benefit - Buy Security Services or do it yourself (DIY)? (Jens Bitter) - Strategische Geschäftsanforderungen an Sicherheit - Modellierung von Lösungsszenarien mit Abwägung Do / Buy (z.B. GRC, SOC) - Offene Diskussion bzgl. eigener Erfahrungen der Teilnehmer Bio (excerpt): Jens Bitter has 20+ year’s experience with focus on Information Security & Risk Management as well as Audit. In a lot of projects he was responsible for design, implementation and evolution as well as operations of Information Security Offices, IS Risk Management, IT Compliance / Data Privacy (acc. EU-GDPR / Protection Act / BDSG) and Information Security Management Systems including Business Continuity Management.

OWASP German Chapter Stammtisch Initiative/München

2020-01-06T11:59:36Z

T.Gigler: Weitere Stammtische: Februar 2020

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (105.) Münchner OWASP-Stammtisch am Di, 28.01.2020, um 19:00 Uhr (erst am 4. Dienstag).
* Agenda:

:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die weiteren Stammtische in 2020!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==
* Februar 2020: 18.02.2020


* Wir suchen Vorträge für die weiteren Stammtische in 2020! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* November 2019: [[Media:Software_Composition_Analysis_OWASP_Stammtisch_-_Stanislav_Sivak.pdf|Open Source Software Flood: Learning to swim]] (Stanislav Sivak)
* Oktober 2019: Security for Business Benefit - Buy Security Services or do it yourself (DIY)? (Jens Bitter)
* September 2019: Stack Overflow Considered Helpful! Deep Learning Security Nudges Towards Stronger Cryptography (Felix Fischer, PhD Student am Lehrstuhl für Cyber Trust, TU München)
* Juli 2019: Bug Bounty Platforms: Empirical Analysis and Economic Challenges ([https://www.cybertrust.in.tum.de/index.php?id=101 Prof. Ph.D. Jens Grossklags, Lehrstuhl für Cyber Trust, TU München]), [https://www.cybertrust.in.tum.de/index.php?id=102&L=0 vgl Publikationen]: [https://www.jstor.org/stable/pdf/10.5325/jinfopoli.7.2017.0372.pdf Devising Effective Policies for Bug-Bounty Platforms and Security Vulnerability Discovery], [https://academic.oup.com/cybersecurity/article/3/2/81/4524054 Given enough eyeballs, all bugs are shallow? Revisiting Eric Raymond with bug bounty programs]
* Juni 2019 (100. Stammtisch): Vortrag 1: Security in a DevOps world (Martin Knobloch), Vortrag 2: Develop secure software with OWASP tools & guides (Martin Knobloch)
* Gastvortrag auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: [[Media:OWASP_Leitlinien+Werkzeuge_-_Torsten_Gigler.pdf|Leitlinien und Werkzeuge von der OWASP-Community]] (Torsten Gigler)
* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2020-01-06T11:45:04Z

T.Gigler: Einladung zum (105.) Münchner OWASP-Stammtisch am (4.) Di, 28.01.2020; Upload der Folien zu Open Source Software Flood: Learning to swim (Stanislav Sivak)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (105.) Münchner OWASP-Stammtisch am Di, 28.01.2020, um 19:00 Uhr (erst am 4. Dienstag).
* Agenda:

:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die weiteren Stammtische in 2020!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* Dezember 2019: Weihnachtsferien - KEIN OWASP-Stammtisch

* Wir suchen Vorträge für die weiteren Stammtische in 2020! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* November 2019: [[Media:Software_Composition_Analysis_OWASP_Stammtisch_-_Stanislav_Sivak.pdf|Open Source Software Flood: Learning to swim]] (Stanislav Sivak)
* Oktober 2019: Security for Business Benefit - Buy Security Services or do it yourself (DIY)? (Jens Bitter)
* September 2019: Stack Overflow Considered Helpful! Deep Learning Security Nudges Towards Stronger Cryptography (Felix Fischer, PhD Student am Lehrstuhl für Cyber Trust, TU München)
* Juli 2019: Bug Bounty Platforms: Empirical Analysis and Economic Challenges ([https://www.cybertrust.in.tum.de/index.php?id=101 Prof. Ph.D. Jens Grossklags, Lehrstuhl für Cyber Trust, TU München]), [https://www.cybertrust.in.tum.de/index.php?id=102&L=0 vgl Publikationen]: [https://www.jstor.org/stable/pdf/10.5325/jinfopoli.7.2017.0372.pdf Devising Effective Policies for Bug-Bounty Platforms and Security Vulnerability Discovery], [https://academic.oup.com/cybersecurity/article/3/2/81/4524054 Given enough eyeballs, all bugs are shallow? Revisiting Eric Raymond with bug bounty programs]
* Juni 2019 (100. Stammtisch): Vortrag 1: Security in a DevOps world (Martin Knobloch), Vortrag 2: Develop secure software with OWASP tools & guides (Martin Knobloch)
* Gastvortrag auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: [[Media:OWASP_Leitlinien+Werkzeuge_-_Torsten_Gigler.pdf|Leitlinien und Werkzeuge von der OWASP-Community]] (Torsten Gigler)
* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

File:Software Composition Analysis OWASP Stammtisch - Stanislav Sivak.pdf

2020-01-06T11:35:52Z

T.Gigler: Open Source Software Flood: Learning to swim (Stanislav Sivak) If you want to be in nowadays, you count on open source software (OSS) to stay flexible and avoid reinventing the wheel. Many applications contain more open source code than propr...

Open Source Software Flood: Learning to swim (Stanislav Sivak) If you want to be in nowadays, you count on open source software (OSS) to stay flexible and avoid reinventing the wheel. Many applications contain more open source code than proprietary code. Using components with known vulnerabilities is one of the most common OWASP risks. In this presentation, we will look at the security, operational and legal challenges associated with the use of third-party components which are mostly open source. Next, we discuss how these risks can be addressed using various make-it-yourself or buy-it approaches so that you can stay atop of the OSS flood. Bio: Stanislav Sivak has held several positions in the IT-security in the last 10 years: starting as a developer, continuing as Linux/database security administrator, however spending most time as consultant, working for the BIG 4, a small German-based company and he currently focuses on everything around the secure software development lifecycle.

OWASP German Chapter Stammtisch Initiative/München

2019-11-13T22:49:28Z

T.Gigler: Einladung zum (104.) Münchner OWASP-Stammtisch am Di, 19.11.2019: Open Source Software Flood: Learning to swim (Stanislav Sivak)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (104.) Münchner OWASP-Stammtisch am Di, 19.11.2019, um 19:00 Uhr.
* Agenda:
:*Vortrag: Open Source Software Flood: Learning to swim (Stanislav Sivak) If you want to be in nowadays, you count on open source software (OSS) to stay flexible and avoid reinventing the wheel. Many applications contain more open source code than proprietary code. Using components with known vulnerabilities is one of the most common OWASP risks. In this presentation, we will look at the security, operational and legal challenges associated with the use of third-party components which are mostly open source. Next, we discuss how these risks can be addressed using various make-it-yourself or buy-it approaches so that you can stay atop of the OSS flood. Bio: Stanislav Sivak has held several positions in the IT-security in the last 10 years: starting as a developer, continuing as Linux/database security administrator, however spending most time as consultant, working for the BIG 4, a small German-based company and he currently focuses on everything around the secure software development lifecycle.
:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die weiteren Stammtische in 2020!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* Dezember 2019: Weihnachtsferien - KEIN OWASP-Stammtisch

* Wir suchen Vorträge für die weiteren Stammtische in 2020! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Oktober 2019: Security for Business Benefit - Buy Security Services or do it yourself (DIY)? (Jens Bitter)
* September 2019: Stack Overflow Considered Helpful! Deep Learning Security Nudges Towards Stronger Cryptography (Felix Fischer, PhD Student am Lehrstuhl für Cyber Trust, TU München)
* Juli 2019: Bug Bounty Platforms: Empirical Analysis and Economic Challenges ([https://www.cybertrust.in.tum.de/index.php?id=101 Prof. Ph.D. Jens Grossklags, Lehrstuhl für Cyber Trust, TU München]), [https://www.cybertrust.in.tum.de/index.php?id=102&L=0 vgl Publikationen]: [https://www.jstor.org/stable/pdf/10.5325/jinfopoli.7.2017.0372.pdf Devising Effective Policies for Bug-Bounty Platforms and Security Vulnerability Discovery], [https://academic.oup.com/cybersecurity/article/3/2/81/4524054 Given enough eyeballs, all bugs are shallow? Revisiting Eric Raymond with bug bounty programs]
* Juni 2019 (100. Stammtisch): Vortrag 1: Security in a DevOps world (Martin Knobloch), Vortrag 2: Develop secure software with OWASP tools & guides (Martin Knobloch)
* Gastvortrag auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: [[Media:OWASP_Leitlinien+Werkzeuge_-_Torsten_Gigler.pdf|Leitlinien und Werkzeuge von der OWASP-Community]] (Torsten Gigler)
* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2019-10-21T21:08:39Z

T.Gigler: 103. Stammtisch mit Vortrag: Security for Business Benefit - Buy Security Services or Do-It-Yourself (DIY)? (Jens Bitter)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (103.) Münchner OWASP-Stammtisch am Di, 22.10.2019, um 19:00 Uhr. Jetzt doch mit Vortrag, Danke an Jens!
* Agenda:
:*Vortrag: Security for Business Benefit - Buy Security Services or do it yourself (DIY)? (Jens Bitter) - Strategische Geschäftsanforderungen an Sicherheit - Modellierung von Lösungsszenarien mit Abwägung Do / Buy (z.B. GRC, SOC) - Offene Diskussion bzgl. eigener Erfahrungen der Teilnehmer Bio (excerpt): Jens Bitter has 20+ year’s experience with focus on Information Security & Risk Management as well as Audit. In a lot of projects he was responsible for design, implementation and evolution as well as operations of Information Security Offices, IS Risk Management, IT Compliance / Data Privacy (acc. EU-GDPR / Protection Act / BDSG) and Information Security Management Systems including Business Continuity Management.
:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die weiteren Stammtische!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* Oktober 2019: 22.10.2019 (4. Di)
* November 2019: 19.11.2019 (3. Di)
* Dezember 2019: Weihnachtsferien - KEIN OWASP-Stammtisch

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* September 2019: Stack Overflow Considered Helpful! Deep Learning Security Nudges Towards Stronger Cryptography (Felix Fischer, PhD Student am Lehrstuhl für Cyber Trust, TU München)
* Juli 2019: Bug Bounty Platforms: Empirical Analysis and Economic Challenges ([https://www.cybertrust.in.tum.de/index.php?id=101 Prof. Ph.D. Jens Grossklags, Lehrstuhl für Cyber Trust, TU München]), [https://www.cybertrust.in.tum.de/index.php?id=102&L=0 vgl Publikationen]: [https://www.jstor.org/stable/pdf/10.5325/jinfopoli.7.2017.0372.pdf Devising Effective Policies for Bug-Bounty Platforms and Security Vulnerability Discovery], [https://academic.oup.com/cybersecurity/article/3/2/81/4524054 Given enough eyeballs, all bugs are shallow? Revisiting Eric Raymond with bug bounty programs]
* Juni 2019 (100. Stammtisch): Vortrag 1: Security in a DevOps world (Martin Knobloch), Vortrag 2: Develop secure software with OWASP tools & guides (Martin Knobloch)
* Gastvortrag auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: [[Media:OWASP_Leitlinien+Werkzeuge_-_Torsten_Gigler.pdf|Leitlinien und Werkzeuge von der OWASP-Community]] (Torsten Gigler)
* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2019-10-18T19:50:52Z

T.Gigler:

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (103.) Münchner OWASP-Stammtisch am Di, 22.10.2019, um 19:00 Uhr.
* Agenda:
:* Wir suchen noch einen Vortrag oder Talk für den Stammtisch! Bitte melde Dich bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }}.

:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die weiteren Stammtische!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* Oktober 2019: 22.10.2019 (4. Di)
* November 2019: 19.11.2019 (3. Di)
* Dezember 2019: Weihnachtsferien - KEIN OWASP-Stammtisch

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* September 2019: Stack Overflow Considered Helpful! Deep Learning Security Nudges Towards Stronger Cryptography (Felix Fischer, PhD Student am Lehrstuhl für Cyber Trust, TU München)
* Juli 2019: Bug Bounty Platforms: Empirical Analysis and Economic Challenges ([https://www.cybertrust.in.tum.de/index.php?id=101 Prof. Ph.D. Jens Grossklags, Lehrstuhl für Cyber Trust, TU München]), [https://www.cybertrust.in.tum.de/index.php?id=102&L=0 vgl Publikationen]: [https://www.jstor.org/stable/pdf/10.5325/jinfopoli.7.2017.0372.pdf Devising Effective Policies for Bug-Bounty Platforms and Security Vulnerability Discovery], [https://academic.oup.com/cybersecurity/article/3/2/81/4524054 Given enough eyeballs, all bugs are shallow? Revisiting Eric Raymond with bug bounty programs]
* Juni 2019 (100. Stammtisch): Vortrag 1: Security in a DevOps world (Martin Knobloch), Vortrag 2: Develop secure software with OWASP tools & guides (Martin Knobloch)
* Gastvortrag auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: [[Media:OWASP_Leitlinien+Werkzeuge_-_Torsten_Gigler.pdf|Leitlinien und Werkzeuge von der OWASP-Community]] (Torsten Gigler)
* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2019-10-18T19:41:08Z

T.Gigler: Einladung zum 103. OWASP-Stammtisch am 22.10.2019 (inkl. Vortragssuche)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (103.) Münchner OWASP-Stammtisch am Di, 22.10.2019, um 19:00 Uhr.
* Agenda:
:* Wir suchen noch einen Vortrag oder Talk für den Stammtisch! Bitte melde Dich bei Torsten.

:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die weiteren Stammtische!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* Oktober 2019: 22.10.2019 (4. Di)
* November 2019: 19.11.2019 (3. Di)
* Dezember 2019: Weihnachtsferien - KEIN OWASP-Stammtisch

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* September 2019: Stack Overflow Considered Helpful! Deep Learning Security Nudges Towards Stronger Cryptography (Felix Fischer, PhD Student am Lehrstuhl für Cyber Trust, TU München)
* Juli 2019: Bug Bounty Platforms: Empirical Analysis and Economic Challenges ([https://www.cybertrust.in.tum.de/index.php?id=101 Prof. Ph.D. Jens Grossklags, Lehrstuhl für Cyber Trust, TU München]), [https://www.cybertrust.in.tum.de/index.php?id=102&L=0 vgl Publikationen]: [https://www.jstor.org/stable/pdf/10.5325/jinfopoli.7.2017.0372.pdf Devising Effective Policies for Bug-Bounty Platforms and Security Vulnerability Discovery], [https://academic.oup.com/cybersecurity/article/3/2/81/4524054 Given enough eyeballs, all bugs are shallow? Revisiting Eric Raymond with bug bounty programs]
* Juni 2019 (100. Stammtisch): Vortrag 1: Security in a DevOps world (Martin Knobloch), Vortrag 2: Develop secure software with OWASP tools & guides (Martin Knobloch)
* Gastvortrag auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: [[Media:OWASP_Leitlinien+Werkzeuge_-_Torsten_Gigler.pdf|Leitlinien und Werkzeuge von der OWASP-Community]] (Torsten Gigler)
* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2019-09-17T15:47:13Z

T.Gigler: Bug Bounty Platforms: Empirical Analysis and Economic Challenges: Links ergänzt

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (102.) Münchner OWASP-Stammtisch am Di, 24.09.2019, um 19:00 Uhr.
* Agenda:
:*Vortrag: Stack Overflow Considered Helpful! Deep Learning Security Nudges Towards Stronger Cryptography (Felix Fischer, PhD student, [https://www.tum.de Technische Universität München]) Stack Overflow is the most popular discussion platform for software developers. Recent research found a large amount of insecure encryption code in production systems that has been inspired by examples given on Stack Overflow. By copying and pasting functional code, developers introduced exploitable software vulnerabilities into security-sensitive high-profile applications installed by millions of users every day. This happens although for over 99% of insecure code examples on Stack Overflow, similar alternatives are available that provide strong cryptography. The presentation shows the results of our researches about this issue and how to mitigate it using the example of strong cryptography. We focus on supporting software developers in making better decisions by applying nudges, a concept borrowed from behavioral science. Our system design is based on several nudges that are controlled by a deep neural network. With a user study we demonstrate that nudge-based security advice significantly helps tackling the most popular and error-prone cryptographic use cases in Android. Felix Fischer is a Research Associate and PhD student at the Chair of [https://www.cybertrust.in.tum.de Cyber Trust] at the [https://www.in.tum.de Department of Informatics] at the Technical University of Munich. He studies the interaction of people with information security and privacy technologies. This means analyzing their application, usability and acceptance in the wild. His most recent publications focus on software engineers struggling with getting cryptography right and explore machine learning as a tool for usable security and privacy. This respects the attestation of private and fair models, as well as lineage and accountability of their decisions.
:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die Stammtische ab Oktober!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* Oktober 2019: 22.10.2019 (4. Di)
* November 2019: 19.11.2019 (3. Di)
* Dezember 2019: Weihnachtsferien - KEIN OWASP-Stammtisch

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Juli 2019: Bug Bounty Platforms: Empirical Analysis and Economic Challenges ([https://www.cybertrust.in.tum.de/index.php?id=101 Prof. Ph.D. Jens Grossklags, Lehrstuhl für Cyber Trust, TU München]), [https://www.cybertrust.in.tum.de/index.php?id=102&L=0 vgl Publikationen]: [https://www.jstor.org/stable/pdf/10.5325/jinfopoli.7.2017.0372.pdf Devising Effective Policies for Bug-Bounty Platforms and Security Vulnerability Discovery], [https://academic.oup.com/cybersecurity/article/3/2/81/4524054 Given enough eyeballs, all bugs are shallow? Revisiting Eric Raymond with bug bounty programs]
* Juni 2019 (100. Stammtisch): Vortrag 1: Security in a DevOps world (Martin Knobloch), Vortrag 2: Develop secure software with OWASP tools & guides (Martin Knobloch)
* Gastvortrag auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: [[Media:OWASP_Leitlinien+Werkzeuge_-_Torsten_Gigler.pdf|Leitlinien und Werkzeuge von der OWASP-Community]] (Torsten Gigler)
* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2019-09-17T15:38:20Z

T.Gigler: Einladung zum (102.) Münchner OWASP-Stammtisch am Di, 24.09.2019, um 19:00 Uhr: Stack Overflow Considered Helpful! Deep Learning Security Nudges Towards Stronger Cryptography (Felix Fischer, PhD Student, TU München)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (102.) Münchner OWASP-Stammtisch am Di, 24.09.2019, um 19:00 Uhr.
* Agenda:
:*Vortrag: Stack Overflow Considered Helpful! Deep Learning Security Nudges Towards Stronger Cryptography (Felix Fischer, PhD student, [https://www.tum.de Technische Universität München]) Stack Overflow is the most popular discussion platform for software developers. Recent research found a large amount of insecure encryption code in production systems that has been inspired by examples given on Stack Overflow. By copying and pasting functional code, developers introduced exploitable software vulnerabilities into security-sensitive high-profile applications installed by millions of users every day. This happens although for over 99% of insecure code examples on Stack Overflow, similar alternatives are available that provide strong cryptography. The presentation shows the results of our researches about this issue and how to mitigate it using the example of strong cryptography. We focus on supporting software developers in making better decisions by applying nudges, a concept borrowed from behavioral science. Our system design is based on several nudges that are controlled by a deep neural network. With a user study we demonstrate that nudge-based security advice significantly helps tackling the most popular and error-prone cryptographic use cases in Android. Felix Fischer is a Research Associate and PhD student at the Chair of [https://www.cybertrust.in.tum.de Cyber Trust] at the [https://www.in.tum.de Department of Informatics] at the Technical University of Munich. He studies the interaction of people with information security and privacy technologies. This means analyzing their application, usability and acceptance in the wild. His most recent publications focus on software engineers struggling with getting cryptography right and explore machine learning as a tool for usable security and privacy. This respects the attestation of private and fair models, as well as lineage and accountability of their decisions.
:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die Stammtische ab Oktober!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* Oktober 2019: 22.10.2019 (4. Di)
* November 2019: 19.11.2019 (3. Di)
* Dezember 2019: Weihnachtsferien - KEIN OWASP-Stammtisch

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Juli 2019: Bug Bounty Platforms: Empirical Analysis and Economic Challenges ([https://www.cybertrust.in.tum.de/index.php?id=101 Prof. Ph.D. Jens Grossklags, Lehrstuhl für Cyber Trust, TU München]), [https://www.cybertrust.in.tum.de/index.php?id=102&L=0 Publikationen], z.B. [https://www.jstor.org/tc/accept?origin=%2Fstable%2Fpdf%2F10.5325%2Fjinfopoli.7.2017.0372.pdf Devising Effective Policies for Bug-Bounty Platforms and Security Vulnerability Discovery]
* Juni 2019 (100. Stammtisch): Vortrag 1: Security in a DevOps world (Martin Knobloch), Vortrag 2: Develop secure software with OWASP tools & guides (Martin Knobloch)
* Gastvortrag auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: [[Media:OWASP_Leitlinien+Werkzeuge_-_Torsten_Gigler.pdf|Leitlinien und Werkzeuge von der OWASP-Community]] (Torsten Gigler)
* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2019-07-12T06:38:58Z

T.Gigler: Links ergänzt

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (101.) Münchner OWASP-Stammtisch am Di, 16.07.2019, um 19:00 Uhr.
* Agenda:
:*Vortrag (neu): Bug Bounty Platforms: Empirical Analysis and Economic Challenges (Prof. Ph.D. Jens Grossklags), [https://www.tum.de Technische Universität München]) Companies are increasingly harvesting the potential of external security researchers through bug bounty programs to find security vulnerabilities. At the same time, several commercial bug bounty platforms have emerged (e.g., HackerOne, BugCrowd, Cobalt), which successfully facilitate the process of building and maintaining bug bounty programs for organizations. In this talk, I will discuss our empirical research to systematically study these platforms. The results demonstrate the growing popularity and practical contributions of these platforms, however, also reveal a number of economic challenges which may limit their success in the future. I will close with a discussion of policy and economic approaches to address these limitations. Prof. Ph.D. Jens Grossklags, holds the Professorship for [https://www.cybertrust.in.tum.de Cyber Trust] at the [https://www.in.tum.de Department of Informatics] at the Technical University of Munich. He studies security and privacy challenges from the economic, technical and behavioral perspectives with a variety of methodologies. Prof. Grossklags received his Ph.D. from the University of California, Berkeley and was a Postdoctoral Research Associate at the Center for Information Technology Policy at Princeton University. He then directed the Security, Privacy and Information Economics Lab, and served as the Haile Family Early Career Professor at the Pennsylvania State University.
:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die Stammtische ab September!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* August 2019: Sommerferien - KEIN OWASP-Stammtisch
* September 2019: 24.09.2019 (4. Di)
* Oktober 2019: 22.10.2019 (4. Di)
* November 2019: 19.11.2019 (3. Di)
* Dezember 2019: Weihnachtsferien - KEIN OWASP-Stammtisch

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Juni 2019 (100. Stammtisch): Vortrag 1: Security in a DevOps world (Martin Knobloch), Vortrag 2: Develop secure software with OWASP tools & guides (Martin Knobloch)
* Gastvortrag auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: [[Media:OWASP_Leitlinien+Werkzeuge_-_Torsten_Gigler.pdf|Leitlinien und Werkzeuge von der OWASP-Community]] (Torsten Gigler)
* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2019-07-12T06:06:22Z

T.Gigler: Einladung zum (101.) Münchner OWASP-Stammtisch am Di, 16.07.2019, um 19:00 Uhr: Vortrag (neu): Bug Bounty Platforms: Empirical Analysis and Economic Challenges (Prof. Ph.D. Jens Grossklags)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (101.) Münchner OWASP-Stammtisch am Di, 16.07.2019, um 19:00 Uhr.
* Agenda:
:*Vortrag (neu): Bug Bounty Platforms: Empirical Analysis and Economic Challenges (Prof. Ph.D. Jens Grossklags), [https://www.tum.de Technische Universität München]) Companies are increasingly harvesting the potential of external security researchers through bug bounty programs to find security vulnerabilities. At the same time, several commercial bug bounty platforms have emerged (e.g., HackerOne, BugCrowd, Cobalt), which successfully facilitate the process of building and maintaining bug bounty programs for organizations. In this talk, I will discuss our empirical research to systematically study these platforms. The results demonstrate the growing popularity and practical contributions of these platforms, however, also reveal a number of economic challenges which may limit their success in the future. I will close with a discussion of policy and economic approaches to address these limitations. Prof. Ph.D. Jens Grossklags, holds the Professorship for Cyber Trust at the Department of Informatics at the Technical University of Munich. He studies security and privacy challenges from the economic, technical and behavioral perspectives with a variety of methodologies. Prof. Grossklags received his Ph.D. from the University of California, Berkeley and was a Postdoctoral Research Associate at the Center for Information Technology Policy at Princeton University. He then directed the Security, Privacy and Information Economics Lab, and served as the Haile Family Early Career Professor at the Pennsylvania State University.
:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die Stammtische ab September!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* August 2019: Sommerferien - KEIN OWASP-Stammtisch
* September 2019: 24.09.2019 (4. Di)
* Oktober 2019: 22.10.2019 (4. Di)
* November 2019: 19.11.2019 (3. Di)
* Dezember 2019: Weihnachtsferien - KEIN OWASP-Stammtisch

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Juni 2019 (100. Stammtisch): Vortrag 1: Security in a DevOps world (Martin Knobloch), Vortrag 2: Develop secure software with OWASP tools & guides (Martin Knobloch)
* Gastvortrag auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: [[Media:OWASP_Leitlinien+Werkzeuge_-_Torsten_Gigler.pdf|Leitlinien und Werkzeuge von der OWASP-Community]] (Torsten Gigler)
* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2019-07-10T21:38:22Z

T.Gigler: Einladung zum (101.) Münchner OWASP-Stammtisch am Di, 16.07.2019, um 19:00 Uhr: Stack Overflow Considered Helpful! Deep Learning Security Nudges Towards Stronger Cryptography (Prof. Ph.D. Jens Grossklags und Felix Fischer, TUM)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (101.) Münchner OWASP-Stammtisch am Di, 16.07.2019, um 19:00 Uhr.
* Agenda:
:*Vortrag: Stack Overflow Considered Helpful! Deep Learning Security Nudges Towards Stronger Cryptography (Prof. Ph.D. Jens Grossklags und Felix Fischer, [https://www.tum.de Technische Universität München])

:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die Stammtische ab September!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* August 2019: Sommerferien - KEIN OWASP-Stammtisch
* September 2019: 24.09.2019 (4. Di)
* Oktober 2019: 22.10.2019 (4. Di)
* November 2019: 19.11.2019 (3. Di)
* Dezember 2019: Weihnachtsferien - KEIN OWASP-Stammtisch

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Juni 2019 (100. Stammtisch): Vortrag 1: Security in a DevOps world (Martin Knobloch), Vortrag 2: Develop secure software with OWASP tools & guides (Martin Knobloch)
* Gastvortrag auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: [[Media:OWASP_Leitlinien+Werkzeuge_-_Torsten_Gigler.pdf|Leitlinien und Werkzeuge von der OWASP-Community]] (Torsten Gigler)
* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

Germany/Governance

2019-06-08T19:26:42Z

T.Gigler: OWASP on The Move: Ansprechpartner ergänzt

== Governance ==

=== Rollen ===
- 1 Chapter Lead
- Board kann jeder mitmachen, der beim Chaptermeeting da ist, oder sich vorab entsprechend meldet

=== Kommunikation als OWASP Germany ===
- keine kommerzielle Werbung
- nur owasp.org Adressen

=== Technik ===
- keine eigene Infrastutkur bis auf DNS für owasp.de
- GOD-Github: Björn, Christian
- Tweetdeck-Admin: Björn
- für Webseiten GOD wird
- Für Redirect und Zertifikat Teil eines Servers: Henrik

=== Stammtische ===
- Monetäre Unterstützung für Austattung wie Beamer beim Board anfragen
- Ziel: eigenes MeetUp über OWASP Global (aktuell in Klärung)

=== Mailinglisten ===
- nur owasp.org Adressen

=== German OWASP Day ===
- einmal im Jar
- wechselnde Städte
- nicht parallel zu einem in Deutschland stattfindenden Global Event

=== OWASP on the Move ===
- Erstattungsfähige Fahrtkosten (nur mit Belegen, Eigenbeleg geht nicht)
- Anreise 2. Klasse Bahn innerhalb Deutschlands
- Hotel bis zu 120 EUR/Nacht Gesamtkosten, Vorschläge durch den Einladenden
- Anreise von außerhalb Deutschlands über Vorangebot
- Erstattung nur nach Freigabe durch OWASP on the Move (Bastian und Torsten (vgl owasp.de) wg. Auslastung des Budgets), ggf. Rücksprache mit Board

OWASP German Chapter Stammtisch Initiative/München

2019-06-08T17:36:21Z

T.Gigler: Einladung zum (100.) Münchner OWASP-Stammtisch am Di, 25.06.2019, um 19:00 Uhr; Vortrag 1: Security in a DevOps world (Martin Knobloch), Vortrag 2: Develop secure software with OWASP tools & guides (Martin Knobloch)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (100.) Münchner OWASP-Stammtisch am Di, 25.06.2019, um 19:00 Uhr. (Dienstag, nach den Pfingstferien)
* Besonderer Geburtstags-Stammtisch mit Martin Knobloch, Chair des Board of Directors der OWASP Foundation
* Agenda:
:*Vortrag 1: Security in a DevOps world (Martin Knobloch) [in Deutsch] DevOps is the new hot thing, yes still, within the development world. but what does it mean? To many times agile, Ci/CD and DevOps are used ambiguously for developer (operations) freedom and turned into development wild west. So how can we leverage and security, where most security professionals (carefully avoid Cyber) are still living in the waterfall world? During this talk, I will share how you can use the advantages of devops and turn it to devsecop, adding security and sense to regain control and assurance.
:*Vortrag 2: Develop secure software with OWASP tools & guides (Martin Knobloch) [in Deutsch] All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level.
:*[[User:Knoblochmartin | Martin Knobloch]] is involved with OWASP since 2006 and chapter leader in the Netherlands since 2007. He has been chair of the OWASP Eductaion committee in 2008 to 2013 and is a member of the OWASP Foundation board of directors since 2017 where he is chair since 2018. In his day job, Martin is head of global application security for CEVA Logistics. He has a background in Java development and architecture prior to his switch to application security.
:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die Stammtische ab September!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* Juli 2019: 16.07.2019 (3. Di)
* August 2019: Sommerferien - KEIN OWASP-Stammtisch
* September 2019: 24.09.2019 (4. Di)
* Oktober 2019: 22.10.2019 (4. Di)
* November 2019: 19.11.2019 (3. Di)
* Dezember 2019: Weihnachtsferien - KEIN OWASP-Stammtisch

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Gastvortrag auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: [[Media:OWASP_Leitlinien+Werkzeuge_-_Torsten_Gigler.pdf|Leitlinien und Werkzeuge von der OWASP-Community]] (Torsten Gigler)
* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2019-06-04T21:19:57Z

T.Gigler: Folien des Gastvortrags auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: Leitlinien und Werkzeuge von der OWASP-Community (Torsten Gigler)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (100.) Münchner OWASP-Stammtisch am Di, 25.06.2019, um 19:00 Uhr. (Dienstag, nach den Pfingstferien)
* Besonderer Geburtstags-Stammtisch geplant
* Agenda:
:*Vortrag: ... 
:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die nächsten Stammtische ab Juli!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* Juni 2019: 25.06.2019 (4. Di)
* Juli 2019: 16.07.2019 (3. Di)
* August 2019: Sommerferien - KEIN OWASP-Stammtisch
* September 2019: 24.09.2019 (4. Di)
* Oktober 2019: 22.10.2019 (4. Di)
* November 2019: 19.11.2019 (3. Di)
* Dezember 2019: Weihnachtsferien - KEIN OWASP-Stammtisch

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Gastvortrag auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: [[Media:OWASP_Leitlinien+Werkzeuge_-_Torsten_Gigler.pdf|Leitlinien und Werkzeuge von der OWASP-Community]] (Torsten Gigler)
* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

File:OWASP Leitlinien+Werkzeuge - Torsten Gigler.pdf

2019-06-04T21:13:05Z

T.Gigler: Gastvortrag des OWASP Stammtisch München auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München

Gastvortrag des OWASP Stammtisch München auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München

2004 Updates OWASP Top Ten Project

2019-06-02T19:18:39Z

T.Gigler: Updated link for latest version

{{taggedDocument
| type=historical
| link=:Category:OWASP_Top_Ten_Project
}}
;What's new?
:OWASP has come a long way since the last top was released in January 2003. This update incorporates all the discussion and up to date views, opinions and debate in the OWASP community over the past 12 months. Overall, there have been minor improvements to all parts of the Top Ten, and only a few major changes:

;WAS-XML Alignment
:One of the new projects initiated in 2003 is the Web Application Security Technical Committee (WAS TC) at OASIS. The purpose of the WAS TC is to produce a classification scheme for web security vulnerabilities, a model to provide guidance for initial threat, impact and therefore risk ratings, and an XML schema to describe web security conditions that can be used by both assessment and protection tools. The OWASP Top Ten project has used the WAS TC as a reference for reprofiling the Top Ten to provide a standardized approach to the classification of web application security vulnerabilities. The WAS Thesaurus defines a standard language for discussing web application security, and we adopt that vocabulary here.

;Addition of Denial of Service
:The only top level category that changed was the addition of the A9 Denial of Service category to the list. Our research has shown that a broad array of organizations are susceptible to this type of attack. Based on the likelihood of a denial of service attack and the consequences if the attack succeeds, we have determined that it warrants inclusion in the Top Ten. To accommodate this new entry, we have combined last year’s A9 Remote Administration Flaws into the A2 Broken Access Control category as it is a special case of that category. We believe this is appropriate, as the types of flaws in A2 are typically the same as those in A9 and require the same types of remediation.

The table below highlights the relationship between the new Top Ten, last year’s Top Ten, and the WAS TC Thesaurus.

{| width="95%" border="1" cellpadding="4" align="center" bgcolor="eeeeff"
|- class="mainText2"
|
<div align="center">'''New Top Ten 2004'''</div>
|
<div align="center">'''Top Ten 2003'''</div>
|
<div align="center">'''New WAS Thesaurus'''</div>
|- class="mainText2"
| A1 Unvalidated Input
| A1 Unvalidated Parameters
| Input Validation
|- class="mainText2"
| A2 Broken Access Control
| A2 Broken Access Control (A9 Remote Administration Flaws)
| Access Control
|- class="mainText2"
| A3 Broken Authentication and Session Management
| A3 Broken Account and Session Management
| Authentication and Session Management
|- class="mainText2"
| A4 Cross Site Scripting (XSS) Flaws
| A4 Cross Site Scripting (XSS) Flaws
| Input Validation->Cross site scripting
|- class="mainText2"
| A5 Buffer Overflows
| A5 Buffer Overflows
| Buffer Overflows
|- class="mainText2"
| A6 Injection Flaws
| A6 Command Injection Flaws
| Input Validation->Injection
|- class="mainText2"
| A7 Improper Error Handling
| A7 Error Handling Problems
| Error Handling
|- class="mainText2"
| A8 Insecure Storage
| A8 Insecure Use of Cryptography
| Data Protection
|- class="mainText2"
| A9 Denial of Service
| N/A
| Availability
|- class="mainText2"
| A10 Insecure Configuration Management
| A10 Web and Application Server Misconfiguration
| Application Configuration Management Infrastructure Configuration Management
|}

[[Category:OWASP Top Ten Project]]

__NOEDITSECTION__

Category:OWASP Top Ten Project

2019-06-02T12:45:31Z

T.Gigler: added a Link to the French translation

=Main=
<div style="width:100%;height:90px;border:0,margin:0;overflow: hidden;">[[File: flagship_big.jpg|link=https://www.owasp.org/index.php/OWASP_Project_Stages#tab=Flagship_Projects]]</div>
{| style="padding: 0;margin:0;margin-top:10px;text-align:left;" |-
| valign="top" style="border-right: 1px dotted gray;padding-right:25px;" |

== OWASP Top 10 2017 Released==
The [[Media:OWASP_Top_10-2017_(en).pdf.pdf| OWASP Top 10 - 2017]] is now available.

==OWASP Top 10 Most Critical Web Application Security Risks==

The OWASP Top 10 is a powerful awareness document for web application security. It represents a broad consensus about the most critical security risks to web applications. Project members include a variety of security experts from around the world who have shared their expertise to produce this list.

We urge all companies to adopt this awareness document within their organization and start the process of ensuring that their web applications minimize these risks. Adopting the OWASP Top 10 is perhaps the most effective first step towards changing the software development culture within your organization into one that produces secure code.

==Translation Efforts==

The OWASP Top 10 has been translated to many different languages by numerous volunteers. These translations are available as follows:

* [[Top10#Translation_Efforts_2 | OWASP Top 10 - 2017 translations are currently underway]]
* [[Top10#OWASP_Top_10_for_2013 | All versions of the OWASP Top 10 - 2013]]
* [[Top10#OWASP_Top_10_for_2010 | All versions of the OWASP Top 10 - 2010]]

== Related Projects ==

* [[OWASP_Mobile_Security_Project#Top_Ten_Mobile_Risks | OWASP Mobile Top 10 Risks]]

* [[OWASP_Proactive_Controls | Top 10 Proactive Controls]]

== Project Sponsors ==

The OWASP Top 10 - 2017 project is sponsored by

{{MemberLinks|link=https://www.autodesk.com|logo=Autodesk-logo.png}}

Thanks to [https://www.aspectsecurity.com Aspect Security] for sponsoring earlier versions.

==Licensing==
The OWASP Top 10 is free to use. It is licensed under the [http://creativecommons.org/licenses/by-sa/4.0/ Creative Commons Attribution-ShareAlike 4.0 license].

| valign="top" style="padding-left:25px;width:200px;" |

== Quick Download ==
* [[Media:OWASP_Top_10-2017_(en).pdf.pdf| OWASP Top 10 - 2017 - PDF]]
* [[:Category:OWASP Top Ten 2017 Project | OWASP Top 10 - 2017 - wiki]]
* Historic:
:* [[Media:OWASP_Top_10_-_2013.pdf | OWASP Top 10 2013 - PDF]]
:* [[Top_10_2013 | OWASP Top 10 2013 - wiki]]
:* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top-10_2013%20-%20Presentation.pptx OWASP Top 10 2013 Presentation (PPTX)].

== Donate to OWASP ==
<div class="center" style="width: auto; margin-left: auto; margin-right: auto;">{{#widget:PayPal Donation
|target=_blank
|budget=Other (Website Donation) }}</div>

== Get Involved ==
* [https://github.com/OWASP/Top10/issues Top 10 Issues on GitHub](preferred)
* [https://lists.owasp.org/mailman/listinfo/Owasp-topten Project Email List]

== News and Events ==
* [20 Oct 2017] OWASP Top 10 2017 - RC2 Published
* [20 May 2016] OWASP Top 10 - 2017 Data Call Announced
* [12 Jun 2013] OWASP Top 10 - 2013 Final Released

== Project Leaders ==

* [[User:vanderaj | Andrew van der Stock]]
* [[User:Neil_Smithline | Neil Smithline]]
* [[User:T.Gigler | Torsten Gigler]]

==Classifications==

{| width="200" cellpadding="2"
|-
| align="center" valign="top" width="50%" rowspan="2"| [[File:Owasp-flagship-trans-85.png|link=https://www.owasp.org/index.php/OWASP_Project_Stages#tab=Flagship_Projects]]
| align="center" valign="top" width="50%"| [[File:Owasp-builders-small.png|link=]]
|-
| align="center" valign="top" width="50%"| [[File:Owasp-defenders-small.png|link=]]
|-
| colspan="2" align="center" | [[File:Cc-button-y-sa-small.png|link=http://creativecommons.org/licenses/by-sa/3.0/]]
|-
| colspan="2" align="center" | [[File:Project_Type_Files_DOC.jpg|link=]]
|}

|}

= Translation Efforts =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

Efforts are underway in numerous languages to translate the OWASP Top 10 - 2017. If you are interested in helping, please contact the members of the team for the language you are interested in contributing to, or if you don't see your language listed (neither here nor at [https://github.com/OWASP/Top10/issues?utf8=%E2%9C%93&q=is%3Aissue github]), please email owasp-topten@lists.owasp.org to let us know that you want to help and we'll form a volunteer group for your language.
We have compiled this [https://github.com/OWASP/Top10/blob/master/2017/translations/README.TRANSLATIONS README.TRANSLATIONS] with some hints to help you with your translation.

=== 2017 Completed Translations: ===
* Chinese: [[Media:OWASP_Top_10_2017_%E4%B8%AD%E6%96%87%E7%89%88v1.3.pdf|OWASP Top 10-2017 - 中文版（PDF)]] 
# 项目组长：[[User:Jie_Wang|王颉]]（wangj@owasp.org.cn）
# 翻译人员：陈亮、王厚奎、王颉、王文君、王晓飞、吴楠、徐瑞祝、夏天泽、杨璐、张剑钟、赵学文（排名不分先后，按姓氏拼音排列）
# 审查人员：Rip、包悦忠、李旭勤、杨天识、张家银（排名不分先后，按姓氏拼音排列）
# 汇编人员：赵学文

* French: [https://github.com/OWASP/Top10/tree/master/2017/fr OWASP Top 10 2017 in French (Git/Markdown)]

* German: [[media:OWASP_Top_10-2017_de_V1.0.pdf | OWASP Top 10 2017 in German V1.0 (Pdf)]] compiled by Christian Dresen, Alexios Fakos, Louisa Frick, Torsten Gigler, Tobias Glemser, Dr. Frank Gut, Dr. Ingo Hanke, Dr. Thomas Herzog, Dr. Markus Koegel, Sebastian Klipper, Jens Liebau, Ralf Reinhardt, Martin Riedel, Michael Schaefer

* Hebrew: [[Media:OWASP-Top-10-2017-he.pdf| OWASP Top 10-2017 - Hebrew (PDF)]]  [[Media:OWASP-Top-10-2017-he.pptx|(PPTX)]] translated by Eyal Estrin (Twitter: @eyalestrin) and Omer Levi Hevroni (Twitter: @omerlh).

* Japanese: [[Media:OWASP_Top_10-2017%28ja%29.pdf|OWASP Top 10-2017 - 日本語版 (PDF)]] translated and reviewed by Akitsugu ITO, Albert Hsieh, Chie TAZAWA, Hideko IGARASHI, Hiroshi TOKUMARU, Naoto KATSUMI, Riotaro OKADA, Robert DRACEA, Satoru TAKAHASHI, Sen UENO, Shoichi NAKATA, Takanori NAKANOWATARI ,Takanori ANDO, Tomohiro SANAE.

* Korean: [[Media:OWASP_Top_10-2017-ko.pdf|OWASP Top 10-2017 - 한글 (PDF)]]  [[Media:OWASP_Top_10-2017-ko.pptx|(PPTX)]] 번역 프로젝트 관리 및 감수 : 박형근(Hyungkeun Park) / 감수(ㄱㄴㄷ순) : 강용석(YongSeok Kang), 박창렴(Park Changryum), 조민재(Johnny Cho) / 편집 및 감수 : 신상원(Shin Sangwon) / 번역(ㄱㄴㄷ순) : 김영하(Youngha Kim), 박상영(Sangyoung Park), 이민욱(MinWook Lee), 정초아(JUNG CHOAH), 조광렬(CHO KWANG YULL), 최한동(Handong Choi)

* Portuguese: [[Media:OWASP_Top_10-2017-pt_pt.pdf|OWASP Top 10 2017 - Portuguese (PDF)]] [https://github.com/OWASP/Top10/raw/master/2017/OWASP%20Top%2010-2017-pt_pt.odp (ODP)] translated by Anabela Nogueira, Carlos Serrão, Guillaume Lopes, João Pinto, João Samouco, Kembolle A. Oliveira, Paulo A. Silva, Ricardo Mourato, Rui Silva, Sérgio Domingues, Tiago Reis, Vítor Magano.

* Russian: [[Media:OWASP Top 10-2017-ru.pdf|OWASP Top 10-2017 - на русском языке (PDF)]] translated and reviewed by JZDLin ([https://github.com/JZDLin @JZDLin]), Oleksii Skachkov ([https://github.com/hamster4n @hamster4n]), Ivan Kochurkin ([https://github.com/KvanTTT @KvanTTT]) and [[User:Taras_Ivashchenko|Taras Ivashchenko]]

* Spanish: [[Media:OWASP-Top-10-2017-es.pdf|OWASP Top 10-2017 - Español (PDF)]] 
# [[User:Gerardo_Canedo|Gerardo Canedo]]（Gerardo.Canedo@owasp.org - [Twitter: @GerardoMCanedo])
# [[User:Cristian_Borghello|Cristian Borghello]]（Cristian.Borghello@owasp.org - [Twitter: @seguinfo])
== Historic: ==

=== 2017 Release Candidate Translation Teams: ===

* Azerbaijanian: Rashad Aliyev (rashad@aliev.info)

* Chinese RC2:Rip、包悦忠、李旭勤、王颉、王厚奎、吴楠、徐瑞祝、夏天泽、张家银、张剑钟、赵学文(排名不分先后，按姓氏拼音排列) [https://www.owasp.org/images/d/d6/OWASP_Top_10_2017%EF%BC%88RC2%EF%BC%89%E4%B8%AD%E6%96%87%E7%89%88%EF%BC%88%E5%8F%91%E5%B8%83%E7%89%88%EF%BC%89.pdf OWASP Top10 2017 RC2 - Chinese PDF]
* French: Ludovic Petit: Ludovic.Petit@owasp.org, Sébastien Gioria: Sebastien.Gioria@owasp.org.
* Others to be listed.

=== 2013 Completed Translations: ===

* Arabic: [https://www.owasp.org/images/6/6a/OWASP_TOP_10_2013_Arabic.pdf OWASP Top 10 2013 - Arabic PDF] Translated by: Mohannad Shahat: Mohannad.Shahat@owasp.org, Fahad: @SecurityArk, Abdulellah Alsaheel: cs.saheel@gmail.com, Khalifa Alshamsi: Khs1618@gmail.com and Sabri(KING SABRI): king.sabri@gmail.com, Mohammed Aldossary: mohammed.aldossary@owasp.org
* Chinese 2013：中文版2013 [https://www.owasp.org/images/5/51/OWASP_Top_10_2013-Chinese-V1.2.pdf OWASP Top 10 2013 - Chinese (PDF)]. 项目组长： Rip、王颉，参与人员：陈亮、顾庆林、胡晓斌、李建蒙、王文君、杨天识、张在峰
* Czech 2013: [https://www.owasp.org/images/f/f3/OWASP_Top_10_-_2013_Final_-_Czech_V1.1.pdf OWASP Top 10 2013 - Czech (PDF)] [https://www.owasp.org/images/0/02/OWASP_Top_10_-_2013_Final_-_Czech_V1.1.pptx OWASP Top 10 2013 - Czech (PPTX)] CSIRT.CZ - CZ.NIC, z.s.p.o. (.cz domain registry): Petr Zavodsky: petr.zavodsky@owasp.org, Vaclav Klimes, Zuzana Duracinska, Michal Prokop, Edvard Rejthar, Pavel Basta
*French 2013: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013%20-%20French.pdf OWASP Top 10 2013 - French PDF] Ludovic Petit: Ludovic.Petit@owasp.org, Sébastien Gioria: Sebastien.Gioria@owasp.org, Erwan Abgrall: g4l4drim@gmail.com, Benjamin Avet: benjamin.avet@gmail.com, Jocelyn Aubert: jocelyn.aubert@owasp.org, Damien Azambour: damien.azambourg@owasp.org, Aline Barthelemy: aline.barthelemy@fr.abb.com, Moulay Abdsamad Belghiti: abdsamad.belghiti@gmail.com, Gregory Blanc: gregory.blanc@gmail.com, Clément Capel: clement.capel@sfr.com, Etienne Capgras: Etienne.capgras@solucom.fr, Julien Cayssol: julien@aqwz.com, Antonio Fontes: antonio.fontes@owasp.org, Ely de Travieso: Ely.detravieso@owasp.org, Nicolas Grégoire: nicolas.gregoire@agarri.fr, Valérie Lasserre: valerie.lasserre@gmx.fr, Antoine Laureau: antoine.laureau@owasp.org, Guillaume Lopes: lopes.guillaume@free.fr, Gilles Morain: gilles.morain@gmail.com, Christophe Pekar: christophe.pekar@owasp.org, Olivier Perret: perrets@free.fr, Michel Prunet: michel.prunet@owasp.org, Olivier Revollat: revollat@gmail.com, Aymeric Tabourin: aymeric.tabourin@orange.com
* German 2013: [[media:OWASP_Top_10_2013_DE_Version_1_0.pdf | OWASP Top 10 2013 - German PDF]] top10@owasp.de which is Frank Dölitzscher, Torsten Gigler, Tobias Glemser, Dr. Ingo Hanke, Thomas Herzog, [[User:Kai_Jendrian|Kai Jendrian]], [[User:Ralf_Reinhardt|Ralf Reinhardt]], Michael Schäfer
* Hebrew 2013: [[OWASP_Top10_Hebrew|OWASP Top 10 2013 - Hebrew]] [https://www.owasp.org/images/1/1b/OWASP_Top_10_2013-Hebrew.pdf PDF] Translated by: Or Katz, Eyal Estrin, Oran Yitzhak, Dan Peled, Shay Sivan.
* Italian 2013: [https://www.owasp.org/images/c/c9/OWASP_Top_10_-_2013_-_Italiano.pdf OWASP Top 10 2013 - Italian PDF] Translated by: Michele Saporito: m.saporito7@gmail.com, Paolo Perego: thesp0nge@owasp.org, Matteo Meucci: matteo.meucci@owasp.org, Sara Gallo: sara.gallo@gmail.com, Alessandro Guido: alex@securityaddicted.com, Mirko Guido Spezie: mirko@dayu.it, Giuseppe Di Cesare: giuseppe.dicesare@alice.it, Paco Schiaffella: schiaffella@gmail.com, Gianluca Grasso: giandou@gmail.com, Alessio D'Ospina: alessiodos@gmail.com, Loredana Mancini: loredana.mancini@business-e.it, Alessio Petracca: alessio.petracca@gmail.com, Giuseppe Trotta: giutrotta@gmail.com, Simone Onofri: simone.onofri@gmail.com, Francesco Cossu: hambucker@gmail.com, Marco Lancini: marco.lancini.ml@gmail.com, Stefano Zanero: zanero@elet.polimi.it, Giovanni Schmid: giovanni.schmid@na.icar.cnr.it, Igor Falcomata': koba@sikurezza.org
*Japanese 2013: [https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf OWASP Top 10 2013 - Japanese PDF] Translated by: Chia-Lung Hsieh: ryusuke.tw(at)gmail.com, Reviewed by: Hiroshi Tokumaru, Takanori Nakanowatari
* Korean 2013: [https://www.owasp.org/images/2/2c/OWASP_Top_10_-_2013_Final_-_Korean.pdf OWASP Top 10 2013 - Korean PDF] (이름가나다순) 김병효:byounghyo.kim@owasp.org, 김지원:jiwon.kim@owasp.or.kr, 김효근:katuri@katuri.kr, 박정훈:xelion@gmail.com, 성영모:youngmo.seong@owasp.or.kr, 성윤기:yune.sung@owasp.org, 송보영:boyoung.song@owasp.or.kr, 송창기:factor7@naver.com, 유정호:griphis77@gmail.com, 장상민:sangmin.jang@owasp.or.kr, 전영재:youngjae.jeon@owasp.org, 정가람:tgcarrot@gmail.com, 정홍순:jhs728@gmail.com, 조민재:johnny.cho@owasp.org,허성무:issimplenet@gmail.com
*Brazilian Portuguese 2013: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2013_Brazilian_Portuguese.pdf OWASP Top 10 2013 - Brazilian Portuguese PDF] Translated by: Carlos Serrão, Marcio Machry, Ícaro Evangelista de Torres, Carlo Marcelo Revoredo da Silva, Luiz Vieira, Suely Ramalho de Mello, Jorge Olímpia, Daniel Quintão, Mauro Risonho de Paula Assumpção, Marcelo Lopes, Caio Dias, Rodrigo Gularte
*Spanish 2013: [https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf OWASP Top 10 2013 - Spanish PDF] Gerardo Canedo: gerardo.canedo@owasp.org, Jorge Correa: jacorream@gmail.com, Fabien Spychiger: fabien.spychiger@dreamlab.net, Alberto Hill: alberto.daniel.hill@gmail.com, Johnatan Stanley: johnatanst@gmail.com, Maximiliano Alonzo: malonzo@tib.com.uy, Mateo Martinez: mateo.martinez@owasp.org, David Montero: david.montero@owasp.org, Rodrigo Martinez: rodmart@fing.edu.uy, Guillermo Skrilec: guillermo.skrilec@owasp.org, Felipe Zipitria: felipe.zipitria@owasp.org, Fabien Spychiger: fabien.spychiger@dreamlab.net, Rafael Gil: rafael.gillarios@owasp.org, Christian Lopez: christian.lopez.martin@owasp.org, jonathan fernandez jonathan.fernandez04@gmail.com, Paola Rodriguez: Paola_R1@verifone.com, Hector Aguirre: hector.antonio.aguirre@owasp.org, Roger Carhuatocto: rcarhuatocto@intix.info, Juan Carlos Calderon: johnccr@yahoo.com, Marc Rivero López: mriverolopez@gmail.com, Carlos Allendes: carlos.allendes@owasp.org, daniel@carrero.cl: daniel@carrero.cl, Manuel Ramírez: manuel.ramirez.s@gmail.com, Marco Miranda: marco.miranda@owasp.org, Mauricio D. Papaleo Mayada: mpapaleo@gmail.com, Felipe Sanchez: felipe.sanchez@peritajesinformaticos.cl, Juan Manuel Bahamonde: juanmanuel.bahamonde@gmail.com, Adrià Massanet: adriamassanet@gmail.com, Jorge Correa: jacorream@gmail.com, Ramiro Pulgar: ramiro.pulgar@owasp.org, German Alonso Suárez Guerrero: german.suarez@owasp.org, Jose A. Guasch: jaguasch@gmail.com, Edgar Salazar: edgar.salazar@owasp.org
*Ukrainian 2013: [https://www.owasp.org/images/e/e3/OWASP_Top_10_-_2013_Final_Ukrainian.pdf OWASP Top 10 2013 - Ukrainian PDF] Kateryna Ovechenko, Yuriy Fedko, Gleb Paharenko, Yevgeniya Maskayeva, Sergiy Shabashkevich, Bohdan Serednytsky

=== 2010 Completed Translations: ===

*Korean 2010: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Korean.pdf OWASP Top 10 2010 - Korean PDF] Hyungkeun Park, (mirrk1@gmail.com)
*Spanish 2010: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Spanish.pdf OWASP Top 10 2010 - Spanish PDF] *Daniel Cabezas Molina , Edgar Sanchez, Juan Carlos Calderon, Jose Antonio Guasch, Paulo Coronado, Rodrigo Marcos, Vicente Aguilera
*French 2010: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20French.pdf OWASP Top 10 2010 - French PDF] ludovic.petit@owasp.org, sebastien.gioria@owasp.org, antonio.fontes@owasp.org, benoit.guerette@owasp.org, Jocelyn.aubert@owasp.org, Eric.Garreau@gemalto.com, Guillaume.Huysmans@gemalto.com
*German: [[media:OWASPTop10_2010_DE_Version_1_0.pdf | OWASP Top 10 2010 - German PDF]] top10@owasp.de which is Frank Dölitzscher, Tobias Glemser, Dr. Ingo Hanke, [[User:Kai_Jendrian|Kai Jendrian]], [[User:Ralf_Reinhardt|Ralf Reinhardt]], Michael Schäfer
*Indonesian: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Indonesian.pdf OWASP Top 10 2010 - Indonesian PDF] Tedi Heriyanto (coordinator), Lathifah Arief, Tri A Sundara, Zaki Akhmad
*Italian: [https://www.owasp.org/images/f/f9/OWASP_Top_10_-_2010_ITA.pdf OWASP Top 10 2010 - Italian PDF] Simone Onofri, Paolo Perego, Massimo Biagiotti, Edoardo Viscosi, Salvatore Fiorillo, Roberto Battistoni, Loredana Mancini, Michele Nesta, Paco Schiaffella, Lucilla Mancini, Gerardo Di Giacomo, Valentino Squilloni
*Japanese: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Japanese-A4.pdf OWASP Top 10 2010 - Japanese PDF] cecil.su@owasp.org, Dr. Masayuki Hisada, Yoshimasa Kawamoto, Ryusuke Sakamoto, Keisuke Seki, Shin Umemoto, Takashi Arima
*Chinese: [https://www.owasp.org/images/a/a9/OWASP_Top_10_2010_Chinese_V1.0_Released.pdf OWASP Top 10 2010 - Chinese PDF] 感谢以下为中文版本做出贡献的翻译人员和审核人员: Rip Torn, 钟卫林, 高雯, 王颉, 于振东
*Vietnamese: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASPTop%2010%20-%202010%20Vietnamese.pdf OWASP Top 10 2010 - Vietnamese PDF] Translation lead by Cecil Su - Translation Team: Dang Hoang Vu, Nguyen Ba Tien, Nguyen Tang Hung, Luong Dieu Phuong, Huynh Thien Tam
*Hebrew: [[OWASP_Top10_Hebrew|OWASP Top 10 Hebrew Project]] -- [https://www.owasp.org/images/c/cd/OWASP_Top_10_Heb.pdf OWASP Top 10 2010 - Hebrew PDF]. Lead by Or Katz, see translation page for list of contributors.

= OWASP Top 10 for 2013 =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

On June 12, 2013 the OWASP Top 10 for 2013 was officially released. This version was updated based on numerous comments received during the comment period after the release candidate was released in Feb. 2013.

* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013.pdf OWASP Top 10 2013 document (PDF)].
* [[Top_10_2013 | OWASP Top 10 2013 - Wiki.]]
* [https://www.owasp.org/images/6/6a/OWASP_TOP_10_2013_Arabic.pdf OWASP Top 10 2013 - Arabic (PDF)].
* [https://www.owasp.org/images/5/51/OWASP_Top_10_2013-Chinese-V1.2.pdf OWASP Top 10 2013 - Chinese (PDF)].
* [https://www.owasp.org/images/f/f3/OWASP_Top_10_-_2013_Final_-_Czech_V1.1.pdf OWASP Top 10 2013 - Czech (PDF)].
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013%20-%20French.pdf OWASP Top 10 2013 - French (PDF)].
* [[media:OWASP_Top_10_2013_DE_Version_1_0.pdf | OWASP Top 10 2013 - German (PDF)]]
* [[OWASP_Top10_Hebrew|OWASP Top 10 2013 - Hebrew]] [https://www.owasp.org/images/1/1b/OWASP_Top_10_2013-Hebrew.pdf (PDF)]
* [https://www.owasp.org/images/c/c9/OWASP_Top_10_-_2013_-_Italiano.pdf OWASP Top 10 2013 - Italian (PDF)]
* [https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf OWASP Top 10 2013 - Japanese (PDF)].
* [https://www.owasp.org/images/2/2c/OWASP_Top_10_-_2013_Final_-_Korean.pdf OWASP Top 10 2013 - Korea (PDF)].
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2013_Brazilian_Portuguese.pdf OWASP Top 10 2013 - Brazilian Portuguese (PDF)].
* [https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf OWASP Top 10 2013 - Spanish (PDF)]
* [https://www.owasp.org/images/e/e3/OWASP_Top_10_-_2013_Final_Ukrainian.pdf OWASP Top 10 2013 - Ukrainian (PDF)]
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top-10_2013%20-%20Presentation.pptx OWASP Top 10 2013 Presentation - Presenting Each Item in the Top 10 (PPTX)].

For 2013, the OWASP Top 10 Most Critical Web Application Security Risks are:

* [[Top_10_2013-A1-Injection | A1 Injection]]
* [[Top_10_2013-A2-Broken_Authentication_and_Session_Management | A2 Broken Authentication and Session Management]]
* [[Top_10_2013-A3-Cross-Site_Scripting_(XSS) | A3 Cross-Site Scripting (XSS)]]
* [[Top_10_2013-A4-Insecure_Direct_Object_References | A4 Insecure Direct Object References]]
* [[Top_10_2013-A5-Security_Misconfiguration | A5 Security Misconfiguration]]
* [[Top_10_2013-A6-Sensitive_Data_Exposure | A6 Sensitive Data Exposure]]
* [[Top_10_2013-A7-Missing_Function_Level_Access_Control | A7 Missing Function Level Access Control]]
* [[Top_10_2013-A8-Cross-Site_Request_Forgery_(CSRF) | A8 Cross-Site Request Forgery (CSRF)]]
* [[Top_10_2013-A9-Using_Components_with_Known_Vulnerabilities | A9 Using Components with Known Vulnerabilities]]
* [[Top_10_2013-A10-Unvalidated_Redirects_and_Forwards | A10 Unvalidated Redirects and Forwards]]

If you are interested, the methodology for how the Top 10 is produced is now documented here: [[Top_10_2013/ProjectMethodology | OWASP Top 10 Development Methodology]]

Please help us make sure every developer in the ENTIRE WORLD knows about the OWASP Top 10 by helping to spread the word!!!

As you help us spread the word, please emphasize:

*OWASP is reaching out to developers, not just the application security community
*The Top 10 is about managing risk, not just avoiding vulnerabilities
*To manage these risks, organizations need an application risk management program, not just awareness training, app testing, and remediation

We need to encourage organizations to get off the penetrate and patch mentality. As Jeff Williams said in his 2009 OWASP AppSec DC Keynote: “we’ll never hack our way secure – it’s going to take a culture change” for organizations to properly address application security.

== Introduction ==

The OWASP Top 10 is a powerful awareness document for web application security. It represents a broad consensus about the most critical security risks to web applications. Project members include a variety of security experts from around the world who have shared their expertise to produce this list. Versions of the 2007 and 2010 version were translated into English, French, Spanish, Japanese, Korean and Turkish and other languages. The 2013 version was translated into even more languages.

We urge all companies to adopt this awareness document within their organization and start the process of ensuring that their web applications minimize these risks. Adopting the OWASP Top 10 is perhaps the most effective first step towards changing the software development culture within your organization into one that produces secure code.

== Changes between 2010 and 2013 Editions ==

The OWASP Top 10 - 2013 includes the following changes as compared to the 2010 edition:

* A1 Injection
* A2 Broken Authentication and Session Management (was formerly 2010-A3)
* A3 Cross-Site Scripting (XSS) (was formerly 2010-A2)
* A4 Insecure Direct Object References
* A5 Security Misconfiguration (was formerly 2010-A6)
* A6 Sensitive Data Exposure (2010-A7 Insecure Cryptographic Storage and 2010-A9 Insufficient Transport Layer Protection were merged to form 2013-A6)
* A7 Missing Function Level Access Control (renamed/broadened from 2010-A8 Failure to Restrict URL Access)
* A8 Cross-Site Request Forgery (CSRF) (was formerly 2010-A5)
* A9 Using Components with Known Vulnerabilities (new but was part of 2010-A6 – Security Misconfiguration)
* A10 Unvalidated Redirects and Forwards

== Other 2013 Top 10 Docs ==

*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP Top 10 - 2013 - Release Candidate]
*[https://www.owasp.org/images/3/3d/OWASP_Top_10_-_2013_Final_Release_-_Change_Log.docx OWASP Top 10 - 2013 - Final Release - Change Log (docx)]
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top-10_2013%20-%20Changes-from-2010.pptx Focusing on What Changed Since 2010 (PPTX)]

[[File:OWASP_Web_Top_10_for_2013.png]]

== Feedback ==

Please let us know how your organization is using the OWASP Top 10. Include your name, organization's name, and brief description of how you use the list. Thanks for supporting OWASP!

We hope you find the information in the OWASP Top 10 useful. Please contribute back to the project by sending your comments, questions, and suggestions to topten@lists.owasp.org. Thanks!

To join the OWASP Top 10 mailing list or view the archives, please visit the [http://lists.owasp.org/mailman/listinfo/owasp-topten subscription page.]

== Project Sponsors ==

The OWASP Top 10 project is sponsored by {{MemberLinks|link=https://www.aspectsecurity.com|logo=Aspect_logo_owasp.jpg}}



= OWASP Top 10 for 2010 =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

On April 19, 2010 the final version of the OWASP Top 10 for 2010 was released, and here is the associated [[OWASPTop10-2010-PressRelease|press release]]. This version was updated based on numerous comments received during the comment period after the release candidate was released in Nov. 2009.

*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010.pdf OWASP Top 10 - 2010 Document]
*[[Top 10 2010|OWASP Top 10 - 2010 - wiki]]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2010%20Presentation.pptx OWASP Top 10 - 2010 Presentation]
*[http://blip.tv/owasp-appsec-conference-in-europe/day2_track1_1430-1505-3936900 OWASP Top 10 Video of the Presentation above - this focused alot on the Top 10 for 2010 approach, rather than the details. (From OWASP AppSec EU 2010)]
*[http://www.vimeo.com/9006276 OWASP Top 10 Video of this Presentation when the Top 10 for 2010 was 1st released for comment - this goes through each item in the Top 10. (From OWASP AppSec DC 2009)]

For 2010, the OWASP Top 10 Most Critical Web Application Security Risks are:

*[[Top_10_2010-A1|A1: Injection]]
*[[Top_10_2010-A2|A2: Cross-Site Scripting (XSS)]]
*[[Top_10_2010-A3|A3: Broken Authentication and Session Management]]
*[[Top_10_2010-A4|A4: Insecure Direct Object References]]
*[[Top_10_2010-A5|A5: Cross-Site Request Forgery (CSRF)]]
*[[Top_10_2010-A6|A6: Security Misconfiguration]]
*[[Top_10_2010-A7|A7: Insecure Cryptographic Storage]]
*[[Top_10_2010-A8|A8: Failure to Restrict URL Access]]
*[[Top_10_2010-A9|A9: Insufficient Transport Layer Protection]]
*[[Top_10_2010-A10|A10: Unvalidated Redirects and Forwards]]

== Introduction ==

The OWASP Top 10 is a powerful awareness document for web application security. It represents a broad consensus about the most critical security risks to web applications. Project members include a variety of security experts from around the world who have shared their expertise to produce this list. Versions of the 2007 were translated into English, French, Spanish, Japanese, Korean and Turkish and other languages and the 2010 version was translated into even more languages. See below for all the translated versions.

== 2010 Versions ==

2010 Edition:

*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010.pdf OWASP Top 10 2010 - PDF]
*[[Top 10 2010|OWASP Top 10 2010 - wiki]]

2010 Translations:

*[https://www.owasp.org/images/a/a9/OWASP_Top_10_2010_Chinese_V1.0_Released.pdf OWASP Top 10 2010 - Chinese PDF / 这里下载PDF格式文档]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20French.pdf OWASP Top 10 2010 - French PDF]
*[[media:OWASPTop10_2010_DE_Version_1_0.pdf | OWASP Top 10 2010 - German PDF]]
*[https://www.owasp.org/images/c/cd/OWASP_Top_10_Heb.pdf OWASP Top 10 2010 - Hebrew PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Indonesian.pdf OWASP Top 10 2010 - Indonesian PDF]
*[https://www.owasp.org/images/f/f9/OWASP_Top_10_-_2010_ITA.pdf OWASP Top 10 2010 - Italian PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Japanese-A4.pdf OWASP Top 10 2010 - Japanese PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Korean.pdf OWASP Top 10 2010 - Korean PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Spanish.pdf OWASP Top 10 2010 - Spanish PDF]
*[https://www.owasp.org/images/8/86/OWASP_Top_10_-_2010_FINAL_%28spanish%29.pptx OWASP Top 10 2010 - Spanish PPT]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASPTop%2010%20-%202010%20Vietnamese.pdf OWASP Top 10 2010 - Vietnamese PDF]

2010 Release Candidate:

*[https://www.owasp.org/index.php/File:OWASP_T10_-_2010_rc1.pdf OWASP Top 10 2010 Release Candidate]
*[https://www.owasp.org/images/e/e1/OWASP_Top_10_RC-Public_Comments.docx OWASP Top 10 2010 Release Candidate Comments], except for one set of scanned comments [https://www.owasp.org/images/2/2e/OWASP_T10_-_2010_rc1_cmts_Kai_Jendrian.pdf which are here].

Previous versions:

*[https://www.owasp.org/images/e/e8/OWASP_Top_10_2007.pdf OWASP Top 10 2007 - PDF]
*[[Top 10 2007|OWASP Top 10 2007 - wiki]]
*[https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=Project_Details OWASP Top 10 2007 - PDF Translations are here]
*[[Top 10 2004|OWASP Top 10 2004 - wiki]]

= Project Details =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

{{:GPC_Project_Details/OWASP_Top10 | OWASP Project Identification Tab}}

= Some Commercial & OWASP Uses of the Top 10 =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

'''Warning''': these articles have not been rated for accuracy by OWASP. Product companies should be extremely careful about claiming to "cover" or "ensure compliance" with the OWASP Top 10. The current state-of-the-art for automated detection (scanners and static analysis) and prevention (WAF) is nowhere near sufficient to claim adequate coverage of the issues in the Top 10. Nevertheless, using the Top 10 as a simple way to communicate security to end users is effective.

;[https://blogs.microsoft.com/microsoftsecure/2008/05/01/sdl-and-the-owasp-top-ten/ Microsoft]
:as a way to measure the coverage of their SDL and improve security

;[https://www.pcisecuritystandards.org/index.shtml PCI Council]
:as part of the Payment Card Industry Data Security Standard (PCI DSS)

;[http://msdn.microsoft.com/en-us/library/dd129898.aspx Microsoft]
:to show how "T10 threats are handled by the security design and test procedures of Microsoft"

;[[OWASP_Top_10/Mapping_to_WHID | OWASP]]
:OWASP Top 10 Mapped to the Web Hacking Incident Database

;[[OWASP_Mobile_Security_Project#tab=Top_Ten_Mobile_Risks | OWASP]]
:OWASP Mobile Top 10 Risks

;[[OWASP_Top_Ten_Cheat_Sheet | OWASP]]
:OWASP Top 10 Cheat Sheet

__NOTOC__ <headertabs />

[[Category:OWASP_Project]] [[Category:OWASP_Document]] [[Category:OWASP_Download]] [[Category:OWASP_Release_Quality_Document]][[Category:Popular]][[Category:SAMM-EG-1]]

OWASP German Chapter Stammtisch Initiative/München

2019-05-25T17:26:58Z

T.Gigler: Einladung zum (100.) Münchner OWASP-Stammtisch am Di, 25.06.2019, um 19:00 Uhr

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (100.) Münchner OWASP-Stammtisch am Di, 25.06.2019, um 19:00 Uhr. (Dienstag, nach den Pfingstferien)
* Besonderer Geburtstags-Stammtisch geplant
* Agenda:
:*Vortrag: ... 
:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die nächsten Stammtische ab Juli!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* Juni 2019: 25.06.2019 (4. Di)
* Juli 2019: 16.07.2019 (3. Di)
* August 2019: Sommerferien - KEIN OWASP-Stammtisch
* September 2019: 24.09.2019 (4. Di)
* Oktober 2019: 22.10.2019 (4. Di)
* November 2019: 19.11.2019 (3. Di)
* Dezember 2019: Weihnachtsferien - KEIN OWASP-Stammtisch

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2019-05-25T17:11:58Z

T.Gigler: Folien Mai 2019: OWASP Application Security Verification Standard (ASVS) 4.0 (Andrew van der Stock, California)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (99.) Münchner OWASP-Stammtisch am Di, 21.05.2019, um 19:00 Uhr. 
* Besonderer Stammtisch mit Andrew van der Stock ('Web-Sicherheits- und OWASP-Enthusiast' aus Australien bzw. Kalifornien):
* Agenda:
:*Vortrag (in Englisch): OWASP Application Security Verification Standard (ASVS) 4.0 (Andrew van der Stock, California) If you liked the OWASP Top 10 as 'appetizer' to web application security we are happy to serve you the latest version of the OWASP Application Security Verification Standard as 'main corse'. Newcomers will make first contacts with a broader overview about good practices for web applications. Long time users will learn about all the new controls, changes that required a complete renumbering of the ASVS, and how to leverage and fork the ASVS for your industry or company. One more thing, we will demonstrate a new attack technique that may not necessarily be well known, but everyone should know about. Andrew van der Stock is a long time security researcher and is the current co-lead of the OWASP Top 10 and OWASP Application Security Verification Standard, and OWASP Board member. Andrew has trained or spoken at many conferences worldwide, including Black Hat USA, OWASP AppSec USA, AppSec EU, AppSec Cali, AusCERT, and linux.conf.au .He received AusCERT/SC Magazine's Award for Individual Excellence in 2013.

:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die Stammtische ab Juli!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* Mai 2019: 21.05.2019 (3. Di)
* Juni 2019: 25.06.2019 (4. Di)
* Juli 2019: 16.07.2019 (3. Di)
* September 2019: 24.09.2019 (4. Di)
* Oktober 2019: 22.10.2019 (4. Di)
* November 2019: 19.11.2019 (3. Di)

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Mai 2019: [[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]] (Andrew van der Stock, California), vgl auch [[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]], [https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]
* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

File:Application Security Verification Standard 4.0 - Andrew van der Stock.pdf

2019-05-25T17:00:13Z

T.Gigler: Vortrag (in Englisch): OWASP Application Security Verification Standard (ASVS) 4.0 (Andrew van der Stock, California) If you liked the OWASP Top 10 as 'appetizer' to web application security we are happy to serve you the latest version of the...

Vortrag (in Englisch): OWASP Application Security Verification Standard (ASVS) 4.0 (Andrew van der Stock, California) If you liked the OWASP Top 10 as 'appetizer' to web application security we are happy to serve you the latest version of the OWASP Application Security Verification Standard as 'main corse'. Newcomers will make first contacts with a broader overview about good practices for web applications. Long time users will learn about all the new controls, changes that required a complete renumbering of the ASVS, and how to leverage and fork the ASVS for your industry or company. One more thing, we will demonstrate a new attack technique that may not necessarily be well known, but everyone should know about. Andrew van der Stock is a long time security researcher and is the current co-lead of the OWASP Top 10 and OWASP Application Security Verification Standard, and OWASP Board member. Andrew has trained or spoken at many conferences worldwide, including Black Hat USA, OWASP AppSec USA, AppSec EU, AppSec Cali, AusCERT, and linux.conf.au .He received AusCERT/SC Magazine's Award for Individual Excellence in 2013.

OWASP German Chapter Stammtisch Initiative/München

2019-05-09T05:49:45Z

T.Gigler: Einladung zum (99.) Münchner OWASP-Stammtisch am Di, 21.05.2019, um 19:00 Uhr, Vortrag (in Englisch): OWASP Application Security Verification Standard (ASVS) 4.0 (Andrew van der Stock, California)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (99.) Münchner OWASP-Stammtisch am Di, 21.05.2019, um 19:00 Uhr. 
* Besonderer Stammtisch mit Andrew van der Stock ('Web-Sicherheits- und OWASP-Enthusiast' aus Australien bzw. Kalifornien):
* Agenda:
:*Vortrag (in Englisch): OWASP Application Security Verification Standard (ASVS) 4.0 (Andrew van der Stock, California) If you liked the OWASP Top 10 as 'appetizer' to web application security we are happy to serve you the latest version of the OWASP Application Security Verification Standard as 'main corse'. Newcomers will make first contacts with a broader overview about good practices for web applications. Long time users will learn about all the new controls, changes that required a complete renumbering of the ASVS, and how to leverage and fork the ASVS for your industry or company. One more thing, we will demonstrate a new attack technique that may not necessarily be well known, but everyone should know about. Andrew van der Stock is a long time security researcher and is the current co-lead of the OWASP Top 10 and OWASP Application Security Verification Standard, and OWASP Board member. Andrew has trained or spoken at many conferences worldwide, including Black Hat USA, OWASP AppSec USA, AppSec EU, AppSec Cali, AusCERT, and linux.conf.au .He received AusCERT/SC Magazine's Award for Individual Excellence in 2013.

:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die Stammtische ab Juli!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* Mai 2019: 21.05.2019 (3. Di)
* Juni 2019: 25.06.2019 (4. Di)
* Juli 2019: 16.07.2019 (3. Di)
* September 2019: 24.09.2019 (4. Di)
* Oktober 2019: 22.10.2019 (4. Di)
* November 2019: 19.11.2019 (3. Di)

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2019-05-07T21:46:47Z

T.Gigler: Folien April 2019: Absicherung von Microservices mit OAuth 2 und OpenID Connect (Andreas Falk)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (99.) Münchner OWASP-Stammtisch am Di, 21.05.2019, um 19:00 Uhr. 
* Agenda:
:* Vortrag: Save the date! A special guest will give us a talk!

:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die Stammtische ab Juli!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* Mai 2019: 21.05.2019 (3. Di)
* Juni 2019: 25.06.2019 (4. Di)
* Juli 2019: 16.07.2019 (3. Di)
* September 2019: 24.09.2019 (4. Di)
* Oktober 2019: 22.10.2019 (4. Di)
* November 2019: 19.11.2019 (3. Di)

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* April 2019: [[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]] (Andreas Falk), [https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

File:OAuth 2 and OpenID Connect - Andreas Falk.pdf

2019-05-07T21:29:41Z

T.Gigler: Vortrag: Absicherung von Microservices mit OAuth 2 und OpenID Connect (Andreas Falk) Der Vortrag besteht aus zwei Teilen: Im ersten Teil wird es einen kurzen Erfahrungsbericht vom 4. jährlichen OAuth-2-Workshop geben der im März an der U...

Vortrag: Absicherung von Microservices mit OAuth 2 und OpenID Connect (Andreas Falk) Der Vortrag besteht aus zwei Teilen: Im ersten Teil wird es einen kurzen Erfahrungsbericht vom 4. jährlichen OAuth-2-Workshop geben der im März an der Uni Stuttgart statt gefunden hat. Hier werden die neuesten Entwicklungen und Erkenntnisse im Bereich OAuth 2 vorgestellt (u.a. bzgl. der Diskussionen um den sog. 'Implicit Flow' in OAuth2). Im zweiten Teil wird es in einer Live Demo darum gehen wie aktuelle Frameworks, hier am Beispiel von Spring Security 5, die sichere Integration von OAuth 2 und OpenID Connect in eigene Anwendungen für Entwickler vereinfachen. Andreas Falk arbeitet seit mehr als zwanzig Jahren im Enterprise-Java-Umfeld und ist seit acht Jahren bei der Novatec Consulting GmbH als Managing Consultant tätig. Seine Schwerpunkte liegen auf der agilen Entwicklung von Cloud-nativen Java-Anwendungen auf Basis der Spring-Plattform. Darüber hinaus beschäftigt er sich als OWASP-Mitglied mit der Anwendungssicherheit und ist als Speaker regelmäßig auf Konferenzen unterwegs.

OWASP German Chapter Stammtisch Initiative/München

2019-05-06T22:26:16Z

T.Gigler: redaktionelle Änderung

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (99.) Münchner OWASP-Stammtisch am Di, 21.05.2019, um 19:00 Uhr. 
* Agenda:
:* Vortrag: Save the date! A special guest will give us a talk!

:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die Stammtische ab Juli!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* Mai 2019: 21.05.2019 (3. Di)
* Juni 2019: 25.06.2019 (4. Di)
* Juli 2019: 16.07.2019 (3. Di)
* September 2019: 24.09.2019 (4. Di)
* Oktober 2019: 22.10.2019 (4. Di)
* November 2019: 19.11.2019 (3. Di)

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2019-05-06T22:19:50Z

T.Gigler: Vorankündigung zum 99. Stammtisch am 21.05.

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (99.) Münchner OWASP-Stammtisch am Di, 21.05.2019, um 19:00 Uhr. 
* Agenda:
:* Vortrag: Save the date! A special guest will give us a talk!

:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die Stammtische ab Juli!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==


Mai 2019: 21.05.2019 (3. Di)
Juni 2019: 25.06.2019 (4. Di)
Juli 2019: 16.07.2019 (3. Di)
September 2019: 24.09.2019 (4. Di)
Oktober 2019: 22.10.2019 (4. Di)
November 2019: 19.11.2019 (3. Di)

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2019-04-23T19:55:51Z

T.Gigler: Wir suchen Vorträge für die weiteren Stammtische

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (98.) Münchner OWASP-Stammtisch am Di, 30.04.2019, um 19:00 Uhr. 
* Agenda:

:* Vortrag: Absicherung von Microservices mit OAuth 2 und OpenID Connect (Andreas Falk) Der Vortrag besteht aus zwei Teilen: Im ersten Teil wird es einen kurzen Erfahrungsbericht vom 4. jährlichen OAuth-2-Workshop geben der im März an der Uni Stuttgart statt gefunden hat. Hier werden die neuesten Entwicklungen und Erkenntnisse im Bereich OAuth 2 vorgestellt (u.a. bzgl. der Diskussionen um den sog. 'Implicit Flow' in OAuth2). Im zweiten Teil wird es in einer Live Demo darum gehen wie aktuelle Frameworks, hier am Beispiel von Spring Security 5, die sichere Integration von OAuth 2 und OpenID Connect in eigene Anwendungen für Entwickler vereinfachen. Andreas Falk arbeitet seit mehr als zwanzig Jahren im Enterprise-Java-Umfeld und ist seit acht Jahren bei der Novatec Consulting GmbH als Managing Consultant tätig. Seine Schwerpunkte liegen auf der agilen Entwicklung von Cloud-nativen Java-Anwendungen auf Basis der Spring-Plattform. Darüber hinaus beschäftigt er sich als OWASP-Mitglied mit der Anwendungssicherheit und ist als Speaker regelmäßig auf Konferenzen unterwegs.
:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für unsere weiteren Stammtische in 2019!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* April 2019: 30.04.2019 (5. Di)

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2019-04-23T19:26:05Z

T.Gigler: Einladung zum (98.) Münchner OWASP-Stammtisch am Di, 30.04.2019, um 19:00 Uhr, Vortrag: Absicherung von Microservices mit OAuth 2 und OpenID Connect (Andreas Falk)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (98.) Münchner OWASP-Stammtisch am Di, 30.04.2019, um 19:00 Uhr. 
* Agenda:

:* Vortrag: Absicherung von Microservices mit OAuth 2 und OpenID Connect (Andreas Falk) Der Vortrag besteht aus zwei Teilen: Im ersten Teil wird es einen kurzen Erfahrungsbericht vom 4. jährlichen OAuth-2-Workshop geben der im März an der Uni Stuttgart statt gefunden hat. Hier werden die neuesten Entwicklungen und Erkenntnisse im Bereich OAuth 2 vorgestellt (u.a. bzgl. der Diskussionen um den sog. 'Implicit Flow' in OAuth2). Im zweiten Teil wird es in einer Live Demo darum gehen wie aktuelle Frameworks, hier am Beispiel von Spring Security 5, die sichere Integration von OAuth 2 und OpenID Connect in eigene Anwendungen für Entwickler vereinfachen. Andreas Falk arbeitet seit mehr als zwanzig Jahren im Enterprise-Java-Umfeld und ist seit acht Jahren bei der Novatec Consulting GmbH als Managing Consultant tätig. Seine Schwerpunkte liegen auf der agilen Entwicklung von Cloud-nativen Java-Anwendungen auf Basis der Spring-Plattform. Darüber hinaus beschäftigt er sich als OWASP-Mitglied mit der Anwendungssicherheit und ist als Speaker regelmäßig auf Konferenzen unterwegs.
:* Freie Diskussion, bringt bitte Themen mit!

* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* April 2019: 30.04.2019 (5. Di)

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

Germany/Projekte/Top 10-2017 A4-XML External Entities (XXE)

2019-03-08T13:19:14Z

T.Gigler: Created Page

{{Top_10_2013:TopTemplate
|useprev=2017PrevLink
|prev=A3-{{Top_10_2010:ByTheNumbers
|3
|year=2017
|language=de
}}
|usenext=2017NextLink
|next=A5-{{Top_10_2010:ByTheNumbers
|5
|year=2017
|language=de
}}
|year=2017
|language=de
}}

{{Top_10_2010:SummaryTableHeaderBeginTemplate|year=2017|language=de}}
{{Top_10-2017:SummaryTableTemplate|exploitability=2 |prevalence=2 |detectability=3 |impact=3 |year=2017|language=de}}
{{Top_10_2010:SummaryTableHeaderEndTemplate|year=2017}}
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

Angreifer können anfällige XML Verarbeiter instrumentalisieren, wenn sie XML direkt hochladen können oder schädliche Inhalte in ein XML-Dokument aufnehmen können, wobei sie anfälligen Code, Abhängigkeiten oder Integrationen ausnutzen. </td>
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

Standardmäßig erlauben viele ältere XML-Prozessoren die Spezifikation einer externen Entität, also einer URI, die während der XML-Verarbeitung dereferenziert und ausgewertet wird. [[Source_Code_Analysis_Tools|SAST]]-Tools können dies erkennen, indem sie Abhängigkeiten und Konfigura-tionen überprüfen. [[:Category:Vulnerability_Scanning_Tools|DAST]]-Tools erfordern zusätzliche manuelle Schritte, um dieses Problem zu erkennen und auszunutzen. Manuelle Tester müssen geschult werden, wie man auf XXE testet, was Stand 2017 typischerweise selten passiert. </td>
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

Diese Fehler können ausgenutzt werden, um Daten zu extrahieren, eine Remote-Anfrage vom Server auszuführen, interne Systeme zu scannen, einen Denial-of-Service-Angriff oder auch andere Angriffe durchzuführen. Die Auswirkungen auf das Unternehmen hängen vom Schutzbedarf der Anwendung und ihrer Daten ab. </td>
{{Top_10_2010:SummaryTableEndTemplate|year=2017}}

{{Top_10:SubsectionTableBeginTemplate|type=main}}
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=isTheApplicationVulnerable|position=firstLeft|year=2017|language=de}}
Anwendungen und insbesondere XML-basierte Webservices oder nachgelagerte Integrationen können in folgenden Fällen anfällig für Angriffe sein:
* Die Anwendung akzeptiert direkt XML oder XML-Uploads, insbesondere aus nicht vertrauenswürdigen Quellen oder fügt nicht vertrauenswürdige Daten in XML-Dokumente ein, die dann von einem XML-Prozessor analysiert werden.
* Die XML-Prozessoren in der Anwendung oder SOAP-basierte Webservices haben [https://en.wikipedia.org/wiki/Document_type_definition Document Type Definitions (DTDs)] aktiviert. Da der genaue Mechanismus zum Deaktivieren der DTD-Verarbeitung je nach Prozessor variiert, ist es empfehlenswert, eine Referenz wie den [[XML_External_Entity_(XXE)_Prevention_Cheat_Sheet|OWASP Cheat Sheet 'XXE Prevention']].
* Wenn Ihre Anwendung SAML für die Identitätsverarbeitung im Rahmen von föderierter Sicherheit oder für Single Sign On (SSO) Zwecke verwendet. SAML verwendet XML für Identitätsbekundungen und kann daher anfällig sein.
* Wenn die Anwendung SOAP vor Version 1.2 verwendet, ist sie wahrscheinlich anfällig für XXE-Angriffe, wenn XML-Entitäten an das SOAP-Framework übergeben werden.
* Die Anfälligkeit für XXE-Angriffe bedeutet wahrscheinlich, dass die Anwendung anfällig für Denial-of-Service-Angriffe, einschließlich des sogenannten "Billion Laughs" Angriffs, ist.

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howToPrevent|position=right|year=2017|language=de}}
Die Schulung von Entwicklern ist unerlässlich, um XXE zu identifizieren und zu beheben. Zusätzlich:
* Verwenden Sie möglichst weniger komplexe Datenformate, wie JSON und vermeiden Sie die Serialisierung sensibler Daten.
* Patchen oder aktualisieren Sie alle XML-Prozessoren und Bibliotheken, die von der Anwendung oder dem zugrunde liegenden Betriebssystem verwendet werden. Verwenden Sie Werkzeuge zur Prüfung von Abhängigkeiten. Aktualisieren Sie auf SOAP 1.2 oder höher.
* Deaktivieren Sie die Verarbeitung von externen XML-Entitäten und DTDs in allen XML-Parsern in der Anwendung, gemäß dem [[XML_External_Entity_(XXE)_Prevention_Cheat_Sheet|OWASP Cheat Sheet 'XXE Prevention']]. Implementierung einer positiven serverseitigen Eingabevalidierung ("White-listing"), -filterung oder -bereinigung, um bösartige Daten in XML-Dokumenten, Headern oder Knoten zu verhindern.
* Vergewissern Sie sich, dass die Upload-Funktionalität für XML- oder XSL-Dateien eingehende XML-Daten mithilfe der XSD-Validierung oder ähnlichem validiert.
* [[Source_Code_Analysis_Tools|SAST]]-Tools können helfen, XXE im Quellcode zu erkennen, jedoch ist die manuelle Codeüberprüfung die beste Alternative in großen, komplexen Anwendungen mit vielen Integrationen.
* Wenn dies nicht möglich ist, sollten Sie die Verwendung von virtuellen Patches, API-Sicherheitsgateways oder Web Application Firewalls (WAFs) in Betracht ziehen, um XXE-Angriffe zu erkennen, zu überwachen und zu blockieren.

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=exampleAttackScenarios|position=left|year=2017|language=de}}
Zahlreiche öffentliche XXE-Probleme wurden entdeckt, darunter auch Angriffe auf Embedded-Geräte. XXE tritt an vielen unerwarteten Stellen auf, einschließlich tief verschachtelter Abhängigkeiten. Der einfachste Weg, wenn möglich, ist das Hochladen einer bösartigen XML-Datei:

Szenario 1: Der Angreifer versucht, Daten vom Server zu extrahieren:

{{Top_10_2010:ExampleBeginTemplate|year=2017}}
<nowiki><?xml version="1.0" encoding="ISO-8859-1"?></nowiki>
: <nowiki><!DOCTYPE foo [</nowiki>
: <nowiki><!ELEMENT foo ANY ></nowiki>
: <nowiki><!ENTITY xxe SYSTEM "file:///etc/passwd" >]></nowiki>
: <nowiki><foo>&xxe;</foo></nowiki>
{{Top_10_2010:ExampleEndTemplate}}

Szenario 2: Ein Angreifer durchsucht das private Netzwerk des Servers, indem er die obige ENTITY-Zeile ändert zu:
{{Top_10_2010:ExampleBeginTemplate|year=2017}}
: <nowiki><!ENTITY xxe SYSTEM "https://192.168.1.1/private" >]></nowiki>
{{Top_10_2010:ExampleEndTemplate}}

Szenario 3: Ein Angreifer versucht einen Denial-of-Service-Angriff, indem er eine potenziell endlose Datei einfügt:
{{Top_10_2010:ExampleBeginTemplate|year=2017}}
: <nowiki><!ENTITY xxe SYSTEM "file:///dev/random" >]></nowiki>
{{Top_10_2010:ExampleEndTemplate}}

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|year=2017|language=de}}
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate|year=2017|language=de}}
* [[:Category:OWASP_Application_Security_Verification_Standard_Project#tab=Home|OWASP Application Security Verification Standard]]
* [[Testing_for_XML_Injection_(OTG-INPVAL-008)|OWASP Testing Guide: Testing for XML Injection]]
* [[XML_External_Entity_(XXE)_Processing|OWASP XXE Vulnerability]]
* [[XML_External_Entity_(XXE)_Prevention_Cheat_Sheet|OWASP Cheat Sheet: XXE Prevention]]
* [[XML_Security_Cheat_Sheet|OWASP Cheat Sheet: XML Security]]

{{Top_10_2010:SubSubsectionExternalReferencesTemplate|year=2017|language=de}}
* [https://cwe.mitre.org/data/definitions/611.html CWE-611: Improper Restriction of XXE]
* [https://ioactive.com/die-laughing-from-a-billion-laughs/ Billion Laughs Attack]
* [https://secretsofappsecurity.blogspot.tw/2017/01/saml-security-xml-external-entity-attack.html SAML Security XML External Entity Attack]
* [https://web-in-security.blogspot.tw/2014/11/detecting-and-exploiting-xxe-in-saml.html Detecting and exploiting XXE in SAML Interfaces]

{{Top_10_2013:BottomAdvancedTemplate
|type=box
|useprev=2017PrevLink
|prev=A3-{{Top_10_2010:ByTheNumbers
|3
|year=2017
|language=de
}}
|usenext=2017NextLink
|next=A5-{{Top_10_2010:ByTheNumbers
|5
|year=2017
|language=de
}}
|year=2017
|language=de
}}

Germany/Projekte/Top 10-2017 A3-Verlust der Vertraulichkeit sensibler Daten

2019-03-08T12:55:09Z

T.Gigler: Created Page

{{Top_10_2013:TopTemplate
|useprev=2017PrevLink
|prev=A2-{{Top_10_2010:ByTheNumbers
|2
|year=2017
|language=de
}}
|usenext=2017NextLink
|next=A4-{{Top_10_2010:ByTheNumbers
|4
|year=2017
|language=de
}}
|year=2017
|language=de
}}

{{Top_10_2010:SummaryTableHeaderBeginTemplate|year=2017|language=de}}
{{Top_10-2017:SummaryTableTemplate|exploitability=2 |prevalence=3 |detectability=2 |impact=3 |year=2017|language=de}}
{{Top_10_2010:SummaryTableHeaderEndTemplate|year=2017}}
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

Angreifer brechen i.d.R. nicht die Verschlüsselung selbst. Stattdessen stehlen sie Schlüssel, führen manuell Seiten- oder MITM-Angriffe aus bzw. stehlen Klartext vom Server, während der Übertragung oder aus dem Browser des Benutzers. Bereits zuvor entwendete Passwort-Datenbanken können mithilfe von Grafikkarten per Brute-Force aufgebrochen werden. </td>
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

In den letzten Jahren war dies die Angriffsart, die am häufigsten wirksam war. Fehlende Verschlüsselung vertraulicher Daten ist hierbei die häufigste Schwachstelle. Das Nutzen von Kryptographie erfolgt oft mit schwacher Schlüsselerzeugung und -verwaltung und der Nutzung schwacher Algorithmen, Protokolle und Verfahren (Cipher) insbesondere für Passwort-Hashes. Server-Schwachstellen bei der Transport-verschlüsselung können einfach erkannt werden, hingegen ist dies für gespeicherte Daten schwierig. </td>
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

Fehler kompromittieren regelmäßig alle vertraulichen Daten. Es handelt sich hierbei oft auch um sensible personenbezogene Daten wie Patienten-, Personal-, Login-Daten oder Kreditkarteninformationen, die aufgrund gesetzlicher oder regulatorischen Vorgaben zu schützen sind, wie z.B. die DSGVO der EU oder nationale Datenschutz-Gesetze. </td>
{{Top_10_2010:SummaryTableEndTemplate|year=2017}}

{{Top_10:SubsectionTableBeginTemplate|type=main}}
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=isTheApplicationVulnerable|position=firstLeft|year=2017|language=de}}
Zunächst müssen Sie den Schutzbedarf der übertragenen und der gespeicherten Daten bestimmen. Beispielsweise benötigen Passwörter, Kreditkartendaten, Patientendaten, Personaldaten und Geschäftsgeheimnisse einen erhöhten Schutz, insbeson-dere wenn dies in Datenschutzgesetzen, wie z.B. der Daten-schutz-Grundverordnung (DSGVO) der EU oder regulatorisch, wie z.B. im Finanzwesen dem PCI Data Security Standard (PCI DSS), gefordert wird.
Folgendes ist zu klären:
* Werden Daten in Klartext übertragen? Dies betrifft insbesondere Protokolle wie z.B. HTTP, SMTP oder FTP. Das Internet ist hier besonders gefährlich. Überprüfen Sie auch interne Übertragungen, z.B. zwischen Load-Balancern, Web-Servern und Backend-Systemen.
* Werden sensible Daten im Klartext gespeichert, inkl. Backups?
* Werden veraltete oder schwache Kryptoverfahren genutzt, z.B. per Default-Einstellung oder veraltetem Code?
* Werden vordefinierte, schwache oder alte Schlüssel zur Verschlüsselung benutzt oder gibt es kein ordnungsgemäßes Schlüsselmanagement inkl. Schlüsselwechsel?
* Wird die Verschlüsselung nicht verbindlich erzwungen, z.B. fehlen Vorgaben für den Browser z.B. im HTTP-Header.
* Prüft der Client (z.B. APP, Mail-Prg) Serverzertifikate richtig?
Vgl. auch ASVS [[:Category:OWASP_Application_Security_Verification_Standard_Project|Crypto (V7)]], [[:Category:OWASP_Application_Security_Verification_Standard_Project|Data Protection (V9)]] und [[:Category:OWASP_Application_Security_Verification_Standard_Project|SSL/TLS (V10)]].

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howToPrevent|position=right|year=2017|language=de}}
Für alle vertraulichen Daten sollten Sie zumindest:
* Legen Sie den Schutzbedarf der verarbeiteten, gespeicherten und übertragenen Daten gemäß Klassen fest. Berücksichtigen Sie dabei auch Datenschutzgesetze, regulatorische und Geschäfts-Anforderungen.
* Legen Sie Maßnahmen je Klasse fest.
* Kein unnötiges Speichern vertraulicher Daten. Sofortiges Löschen nicht mehr benötigter Daten oder PCI-DSS-konformes Speichern von Ersatzwerten (Tokenisierung) oder gar gekürzten (trunkierten) Werten. Daten, die es nicht gibt, können auch nicht gestohlen werden.
* Verschlüsseltes Speichern von sensitiven Daten.
* Aktuelle, starke Algorithmen und Schlüssel (z.B. gemäß BSI [https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html TR-02102]) u. wirksames Schlüsselmanagement verwenden.
* Nutzen von Transportverschlüsselung mit sicheren Protokollen, wie z.B. TLS mit priorisierten Ciphern, die ausschließlich Perfect Forward Secrecy (PFS) und sichere Parameter nutzen. Konfigurieren von Anweisungen wie z.B. HTTP Strict Transport Security ([[HTTP_Strict_Transport_Security_Cheat_Sheet|HSTS]]) zum obligatorischen Verschlüsseln.
* Deaktivieren des Caches für den Empfang sensibler Daten.
* Passwörter mit einem speziellen, adaptiven Salting-Hash-Algorithmus mit hohem Rechenaufwand (=Verzögerung) speichern ([https://www.cryptolux.org/index.php/Argon2 Argon2], [https://wikipedia.org/wiki/Scrypt scrypt], [https://wikipedia.org/wiki/Bcrypt bcrypt] oder [https://wikipedia.org/wiki/PBKDF2 PBKDF2]).
* Unabhängige Überprüfung der Wirksamkeit der Einstellungen.

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=exampleAttackScenarios|position=left|year=2017|language=de}}
Szenario 1: Eine Anwendung verschlüsselt Kreditkartendaten automatisch bei der Speicherung in einer Datenbank. Das bedeutet aber auch, dass durch SQL-Injection erlangte Kreditkartendaten in diesem Fall automatisch entschlüsselt werden.

Szenario 2: Eine Webseite benutzt kein TLS, erzwingt dies nicht auf allen Seiten oder lässt schwache Verschlüsselung zu. Der Angreifer liest die Kommunikation mit (z.B. in einem offenen WLAN), ersetzt HTTPS- durch HTTP-Verbindungen, hört diese ab und stiehlt das Sitzungscookie. Durch Wiedereinspielen dieses Cookies übernimmt der Angreifer die (authentifizierte) Sitzung des Nutzers und erlangt Zugriff auf dessen private Daten. Anstatt dessen kann der Angreifer auch die übertragenen Daten ändern, z.B. den Empfänger einer Überweisung.

Szenario 3: Die Passwortdatenbank benutzt einfache Hashwerte oder Hashes ohne Salt zur Speicherung der Passwörter. Eine Schwachstelle in der Downloadfunktion erlaubt dem Angreifer den Zugriff auf die Passwortdatei. Zu Hashes ohne Salt kann über vorausberechnete Rainbow-Tabellen der Klartext gefunden werden. Hashes, die über einfache oder schnelle Funktionen be-rechnet wurden, können mittels Grafikkarte gebrochen werden.

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|year=2017|language=de}}
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate|year=2017|language=de}}
* [[OWASP_Proactive_Controls#7:_Protect_Data|OWASP Proactive Controls: Protect Data]]
* [[:Category:OWASP_Application_Security_Verification_Standard_Project|OWASP Application Security Verification Standard]] (V7,9, 10)
* [[Transport_Layer_Protection_Cheat_Sheet|OWASP Cheat Sheet: Transport Layer Protection]]
* [[User_Privacy_Protection_Cheat_Sheet|OWASP Cheat Sheet: User Privacy Protection]]
* [[Password_Storage_Cheat_Sheet|OWASP Cheat Sheet: Password]] und [[Cryptographic_Storage_Cheat_Sheet|Cryptographic Storage]]
* [[OWASP_Secure_Headers_Project|OWASP Security Headers Project]]
* [[HTTP_Strict_Transport_Security_Cheat_Sheet|Cheat Sheet: HSTS]]
* [[Testing_for_weak_Cryptography|OWASP Testing Guide: Testing for weak cryptography]]

{{Top_10_2010:SubSubsectionExternalReferencesTemplate|year=2017|language=de}}
* [https://cwe.mitre.org/data/definitions/202.html CWE-202: Exposure of sens. information through data queries]
* [https://cwe.mitre.org/data/definitions/310.html CWE-310: Cryptographic Issues]
* [https://cwe.mitre.org/data/definitions/311.html CWE-311: Missing Encryption]
* [https://cwe.mitre.org/data/definitions/312.html CWE-312: Cleartext Storage of Sensitive Information]
* [https://cwe.mitre.org/data/definitions/319.html CWE-319: Cleartext Transmission of Sensitive Information]
* [https://cwe.mitre.org/data/definitions/326.html CWE-326: Weak Encryption]
* [https://cwe.mitre.org/data/definitions/327.html CWE-327: Broken/Risky Crypto]
* [https://cwe.mitre.org/data/definitions/359.html CWE-359: Exposure of Private Information (Privacy Violation)]
* [https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen]

{{Top_10_2013:BottomAdvancedTemplate
|type=box
|useprev=2017PrevLink
|prev=A2-{{Top_10_2010:ByTheNumbers
|2
|year=2017
|language=de
}}
|usenext=2017NextLink
|next=A4-{{Top_10_2010:ByTheNumbers
|4
|year=2017
|language=de
}}
|year=2017
|language=de
}}

Germany/Projekte/Top 10-2017 A2-Fehler in der Authentifizierung

2019-03-08T12:30:02Z

T.Gigler: Created Page

{{Top_10_2013:TopTemplate
|useprev=2017PrevLink
|prev=A1-{{Top_10_2010:ByTheNumbers
|1
|year=2017
|language=de
}}
|usenext=2017NextLink
|next=A3-{{Top_10_2010:ByTheNumbers
|3
|year=2017
|language=de
}}
|year=2017
|language=de
}}

{{Top_10_2010:SummaryTableHeaderBeginTemplate|year=2017|language=de}}
{{Top_10-2017:SummaryTableTemplate|exploitability=3 |prevalence=2 |detectability=2 |impact=3 |year=2017|language=de}}
{{Top_10_2010:SummaryTableHeaderEndTemplate|year=2017}}
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

Angreifer haben Zugriff auf Millionen gültiger Benutzerdatensätze um diese als Prüfgrundlage zu nutzen, Listen mit administrativen Standard-zugängen, Werkzeuge zum Durchführen von Bruteforce- und Wörterbuch-Angriffen. Angriffe auf die Authentifizierung sind gut erforscht, insbesondere in Bezug auf nicht erloschene Session-Token. </td>
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

Aufgrund des Designs und der Implementierung von Identitäts- und Zugriffsprüfungen sind Fehler in der Authentifizierung weit verbreitet. Sitzungsverwaltung („Session Management“) ist die Grundlage zur Prüfung von Authentisierung und Zugriffsberechtigung und in zustandsbehafteten Anwendungen vorhanden. Angreifer können fehlerhafte Authentifizierung mit manuellen Methoden erkennen und mithilfe automatisierter Tools mit Passwortlisten und Wörterbuchangriffen ausnutzen. </td>
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

Um ein System zu kompromittieren, genügt es einem Angreifer, nur wenige Zugänge oder den einen administrativen Zugang zu erlangen. Abhängig vom Zweck der Anwendung ermöglicht ihm das z. B. Geldwäsche, Sozialbetrug, Identitätsdiebstahl oder die Veröffentlichung hochsensibler Informationen. </td>
{{Top_10_2010:SummaryTableEndTemplate|year=2017}}

{{Top_10:SubsectionTableBeginTemplate|type=main}}
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=isTheApplicationVulnerable|position=firstLeft|year=2017|language=de}}
Um eine Anwendung gegen Angriffe auf die Authentisierung zu schützen, müssen die Nutzeridentität, Anmeldung und die Sitzungsverwaltung überprüft werden.
Folgende Fehler in der Authentisierung können vorhanden sein:
* Automatisierte Angriffe wie "[[Credential_stuffing|Credential Stuffing]]" werden ermöglicht.
* Bruteforce oder andere automatisierte Angriffe sind möglich.
* Schwache oder bekannte Passwörter wie "Passwort!" oder "admin/admin" sind erlaubt, Standardpasswörter unverändert.
* Funktionen um Zugangsdaten oder Passwörter wiederherzustellen sind schwach, wie z. B. "wissensbasierte Antworten", die nicht sicher sein können.
* Speicherung von Passwörtern im Klartext, verschlüsselt oder mit schwachen Hashes (vgl. [[{{Top_10:LanguageFile|text=documentRootTop10New|language=de|year=2017 }}_A3-{{Top_10_2010:ByTheNumbers|3|year=2017|language=de}} | A3:2017-{{Top_10_2010:ByTheNumbers|3|year=2017|language=de}}]]).
* Keine oder nicht wirksame Mehrfaktor-Authentisierung
* Die Sitzungs-ID wird im URL exponiert (z. B. URL rewriting)
* Kein Wechsel der Sitzungs-ID nach einer erfolgreichen Anmeldung.
* Sitzungs-IDs werden nicht korrekt ungültig gemacht, d.h. Benutzersitzungen oder Authentisierungs-Token (wie z.B. Single-Sign-On (SSO)-Token) werden nach einer Abmeldung, nach einer festen Zeit oder bei Nicht-Aktivität nicht explizit ungültig gemacht.

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howToPrevent|position=right|year=2017|language=de}}
* Sofern es möglich ist, implementieren Sie Mehrfaktor-Authentisierung, um automatisierte Angriffe zu verhindern.
Im Auslieferungszustand sollten keine Standardbenutzer angelegt sein. Dies gilt besonders für administrative Benutzer.
* Es sollten Prüfungen zum Verhindern schwacher Passwörter implementiert sein. So können Passwörtern gegen eine Liste [https://github.com/danielmiessler/SecLists/tree/master/Passwords der 10000 beliebtesten Passwörter]. geprüft werden.
* Die Prüfung der Länge, Komplexität und Häufigkeit des Passwortwechsels sollte sich an den Vorgaben der [https://pages.nist.gov/800-63-3/sp800-63b.html#memsecret NIST 800-63] o. anderen Vorgaben mit nachweisbarer Sicherheit orientieren.
* Funktionen zur Benutzerregistrierung, Wiederherstellung von Zugangsdaten und API Zugängen sollten gegen das automatische Durchsuchen nach gültigen Benutzernamen geschützt sein, in dem bei allen fehlerhaften Anmeldeversuchen dieselbe Fehlermeldung ausgegeben wird.
* Begrenzen Sie die Gesamtanzahl der Anmeldeversuche oder setzen Sie Verzögerungen ein. Fehlerhafte Anmeldungen müssen protokolliert und Administratoren informiert werden, wenn Anomalien oder Angriffe erkannt werden.
* Es sollten serverseitige, sichere und etablierte Sitzungsmanager verwendet werden, die eine zufällig vergebene Sitzungs-ID mit hoher Entropie verwenden. Sitzungs-IDs sollten nicht in der URL stehen, sicher gespeichert und nach Abmeldung, Inaktivität oder einer gewissen Zeitenspanne entwertet werden.

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=exampleAttackScenarios|position=left|year=2017|language=de}}
Szenario 1: [[Credential_stuffing|Credential Stuffing]] oder die Verwendung [https://github.com/danielmiessler/SecLists von Passwortlisten] sind übliche Angriffe. Sofern eine Anwendung keine automatisierte Erkennung von „Credential Stuffing“ implementiert, können gültige Benutzerdaten durchprobiert und auf Gültigkeit geprüft werden.

Szenario 2: Die meisten Angriffe sind erfolgreich, weil weiterhin auf passwortbasierte Verfahren als einzigen Faktor gesetzt wird. Ehemals als Best-Practice anerkannte Verfahren wie Passwortwechsel und Komplexitätsanforderungen führen nur dazu, dass Benutzer Passwörter wiederverwenden und schwache Passwörter vergeben. Organisationen sind aufgefordert, diese Vorgehensweise entsprechend NIST 800-53 zu verhindern und Mehrfaktor-Authentisierung zu benutzen.

Szenario 3: Die automatische Abmeldung bei Inaktivität ist nicht korrekt implementiert. Ein Nutzer verwendet einen öffentlichen Computer, um auf die Anwendung zuzugreifen. Anstatt die Abmeldefunktion zu nutzen, schließt der Benutzer lediglich den Browsertab. Eine Stunde später nutzt ein Angreifer denselben Browser und stellt fest, dass der Nutzer immer noch angemeldet ist.

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|year=2017|language=de}}
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate|year=2017|language=de}}

* [[OWASP_Proactive_Controls#5:_Implement_Identity_and_Authentication_Controls|OWASP Proactive Controls: Implement Identity and Authentication Controls]]
* [[:Category:OWASP_Application_Security_Verification_Standard_Project|OWASP Application Security Verification Standard: V2 Authentication]]
* [[:Category:OWASP_Application_Security_Verification_Standard_Project|OWASP Application Security Verification Standard: V3 Session Management]]
* [[Testing_Identity_Management|OWASP Testing Guide: Identity]], [[Testing_for_authentication|Authentication]]
* [[Authentication_Cheat_Sheet|OWASP Cheat Sheet: Authentication]]
* [[Credential_Stuffing_Prevention_Cheat_Sheet|OWASP Cheat Sheet: Credential Stuffing]]
* [[Forgot_Password_Cheat_Sheet|OWASP Cheat Sheet: Forgot Password]]
* [[Session_Management_Cheat_Sheet|OWASP Cheat Sheet: Session Management]]
* [[OWASP_Automated_Threats_to_Web_Applications|OWASP Automated Threats Handbook]]

{{Top_10_2010:SubSubsectionExternalReferencesTemplate|year=2017|language=de}}
* [https://pages.nist.gov/800-63-3/sp800-63b.html#memsecret NIST 800-63b: 5.1.1 Memorized Secrets]
* [https://cwe.mitre.org/data/definitions/287.html CWE-287: Improper Authentication]
* [https://cwe.mitre.org/data/definitions/384.html CWE-384: Session Fixation]

{{Top_10_2013:BottomAdvancedTemplate
|type=box
|useprev=2017PrevLink
|prev=A1-{{Top_10_2010:ByTheNumbers
|1
|year=2017
|language=de
}}
|usenext=2017NextLink
|next=A3-{{Top_10_2010:ByTheNumbers
|3
|year=2017
|language=de
}}
|year=2017
|language=de
}}

Category:OWASP Top Ten Project

2019-02-28T21:06:24Z

T.Gigler: sorted translations; langages in bold; removed direct links to twitter

=Main=
<div style="width:100%;height:90px;border:0,margin:0;overflow: hidden;">[[File: flagship_big.jpg|link=https://www.owasp.org/index.php/OWASP_Project_Stages#tab=Flagship_Projects]]</div>
{| style="padding: 0;margin:0;margin-top:10px;text-align:left;" |-
| valign="top" style="border-right: 1px dotted gray;padding-right:25px;" |

== OWASP Top 10 2017 Released==
The [[Media:OWASP_Top_10-2017_(en).pdf.pdf| OWASP Top 10 - 2017]] is now available.

==OWASP Top 10 Most Critical Web Application Security Risks==

The OWASP Top 10 is a powerful awareness document for web application security. It represents a broad consensus about the most critical security risks to web applications. Project members include a variety of security experts from around the world who have shared their expertise to produce this list.

We urge all companies to adopt this awareness document within their organization and start the process of ensuring that their web applications minimize these risks. Adopting the OWASP Top 10 is perhaps the most effective first step towards changing the software development culture within your organization into one that produces secure code.

==Translation Efforts==

The OWASP Top 10 has been translated to many different languages by numerous volunteers. These translations are available as follows:

* [[Top10#Translation_Efforts_2 | OWASP Top 10 - 2017 translations are currently underway]]
* [[Top10#OWASP_Top_10_for_2013 | All versions of the OWASP Top 10 - 2013]]
* [[Top10#OWASP_Top_10_for_2010 | All versions of the OWASP Top 10 - 2010]]

== Related Projects ==

* [[OWASP_Mobile_Security_Project#Top_Ten_Mobile_Risks | OWASP Mobile Top 10 Risks]]

* [[OWASP_Proactive_Controls | Top 10 Proactive Controls]]

== Project Sponsors ==

The OWASP Top 10 - 2017 project is sponsored by

{{MemberLinks|link=https://www.autodesk.com|logo=Autodesk-logo.png}}

Thanks to [https://www.aspectsecurity.com Aspect Security] for sponsoring earlier versions.

==Licensing==
The OWASP Top 10 is free to use. It is licensed under the [http://creativecommons.org/licenses/by-sa/4.0/ Creative Commons Attribution-ShareAlike 4.0 license].

| valign="top" style="padding-left:25px;width:200px;" |

== Quick Download ==
* [[Media:OWASP_Top_10-2017_(en).pdf.pdf| OWASP Top 10 - 2017 - PDF]]
* [[:Category:OWASP Top Ten 2017 Project | OWASP Top 10 - 2017 - wiki]]
* Historic:
:* [[Media:OWASP_Top_10_-_2013.pdf | OWASP Top 10 2013 - PDF]]
:* [[Top_10_2013 | OWASP Top 10 2013 - wiki]]
:* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top-10_2013%20-%20Presentation.pptx OWASP Top 10 2013 Presentation (PPTX)].

== Donate to OWASP ==
<div class="center" style="width: auto; margin-left: auto; margin-right: auto;">{{#widget:PayPal Donation
|target=_blank
|budget=Other (Website Donation) }}</div>

== Get Involved ==
* [https://github.com/OWASP/Top10/issues Top 10 Issues on GitHub](preferred)
* [https://lists.owasp.org/mailman/listinfo/Owasp-topten Project Email List]

== News and Events ==
* [20 Oct 2017] OWASP Top 10 2017 - RC2 Published
* [20 May 2016] OWASP Top 10 - 2017 Data Call Announced
* [12 Jun 2013] OWASP Top 10 - 2013 Final Released

== Project Leaders ==

* [[User:vanderaj | Andrew van der Stock]]
* [[User:Neil_Smithline | Neil Smithline]]
* [[User:T.Gigler | Torsten Gigler]]

==Classifications==

{| width="200" cellpadding="2"
|-
| align="center" valign="top" width="50%" rowspan="2"| [[File:Owasp-flagship-trans-85.png|link=https://www.owasp.org/index.php/OWASP_Project_Stages#tab=Flagship_Projects]]
| align="center" valign="top" width="50%"| [[File:Owasp-builders-small.png|link=]]
|-
| align="center" valign="top" width="50%"| [[File:Owasp-defenders-small.png|link=]]
|-
| colspan="2" align="center" | [[File:Cc-button-y-sa-small.png|link=http://creativecommons.org/licenses/by-sa/3.0/]]
|-
| colspan="2" align="center" | [[File:Project_Type_Files_DOC.jpg|link=]]
|}

|}

= Translation Efforts =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

Efforts are underway in numerous languages to translate the OWASP Top 10 - 2017. If you are interested in helping, please contact the members of the team for the language you are interested in contributing to, or if you don't see your language listed (neither here nor at [https://github.com/OWASP/Top10/issues?utf8=%E2%9C%93&q=is%3Aissue github]), please email owasp-topten@lists.owasp.org to let us know that you want to help and we'll form a volunteer group for your language.
We have compiled this [https://github.com/OWASP/Top10/blob/master/2017/translations/README.TRANSLATIONS README.TRANSLATIONS] with some hints to help you with your translation.

=== 2017 Completed Translations: ===
* Chinese: [[Media:OWASP_Top_10_2017_%E4%B8%AD%E6%96%87%E7%89%88v1.3.pdf|OWASP Top 10-2017 - 中文版（PDF)]] 
# 项目组长：[[User:Jie_Wang|王颉]]（wangj@owasp.org.cn）
# 翻译人员：陈亮、王厚奎、王颉、王文君、王晓飞、吴楠、徐瑞祝、夏天泽、杨璐、张剑钟、赵学文（排名不分先后，按姓氏拼音排列）
# 审查人员：Rip、包悦忠、李旭勤、杨天识、张家银（排名不分先后，按姓氏拼音排列）
# 汇编人员：赵学文

* German: [[media:OWASP_Top_10-2017_de_V1.0.pdf | OWASP Top 10 2017 in German V1.0 (Pdf)]] compiled by Christian Dresen, Alexios Fakos, Louisa Frick, Torsten Gigler, Tobias Glemser, Dr. Frank Gut, Dr. Ingo Hanke, Dr. Thomas Herzog, Dr. Markus Koegel, Sebastian Klipper, Jens Liebau, Ralf Reinhardt, Martin Riedel, Michael Schaefer

* Hebrew: [[Media:OWASP-Top-10-2017-he.pdf| OWASP Top 10-2017 - Hebrew (PDF)]]  [[Media:OWASP-Top-10-2017-he.pptx|(PPTX)]] translated by Eyal Estrin (Twitter: @eyalestrin) and Omer Levi Hevroni (Twitter: @omerlh).

* Japanese: [[Media:OWASP_Top_10-2017%28ja%29.pdf|OWASP Top 10-2017 - 日本語版 (PDF)]] translated and reviewed by Akitsugu ITO, Albert Hsieh, Chie TAZAWA, Hideko IGARASHI, Hiroshi TOKUMARU, Naoto KATSUMI, Riotaro OKADA, Robert DRACEA, Satoru TAKAHASHI, Sen UENO, Shoichi NAKATA, Takanori NAKANOWATARI ,Takanori ANDO, Tomohiro SANAE.

* Korean: [[Media:OWASP_Top_10-2017-ko.pdf|OWASP Top 10-2017 - 한글 (PDF)]]  [[Media:OWASP_Top_10-2017-ko.pptx|(PPTX)]] 번역 프로젝트 관리 및 감수 : 박형근(Hyungkeun Park) / 감수(ㄱㄴㄷ순) : 강용석(YongSeok Kang), 박창렴(Park Changryum), 조민재(Johnny Cho) / 편집 및 감수 : 신상원(Shin Sangwon) / 번역(ㄱㄴㄷ순) : 김영하(Youngha Kim), 박상영(Sangyoung Park), 이민욱(MinWook Lee), 정초아(JUNG CHOAH), 조광렬(CHO KWANG YULL), 최한동(Handong Choi)

* Portuguese: [[Media:OWASP_Top_10-2017-pt_pt.pdf|OWASP Top 10 2017 - Portuguese (PDF)]] [https://github.com/OWASP/Top10/raw/master/2017/OWASP%20Top%2010-2017-pt_pt.odp (ODP)] translated by Anabela Nogueira, Carlos Serrão, Guillaume Lopes, João Pinto, João Samouco, Kembolle A. Oliveira, Paulo A. Silva, Ricardo Mourato, Rui Silva, Sérgio Domingues, Tiago Reis, Vítor Magano.

* Russian: [[Media:OWASP Top 10-2017-ru.pdf|OWASP Top 10-2017 - на русском языке (PDF)]] translated and reviewed by JZDLin ([https://github.com/JZDLin @JZDLin]), Oleksii Skachkov ([https://github.com/hamster4n @hamster4n]), Ivan Kochurkin ([https://github.com/KvanTTT @KvanTTT]) and [[User:Taras_Ivashchenko|Taras Ivashchenko]]

* Spanish: [[Media:OWASP-Top-10-2017-es.pdf|OWASP Top 10-2017 - Español (PDF)]] 
# [[User:Gerardo_Canedo|Gerardo Canedo]]（Gerardo.Canedo@owasp.org - [Twitter: @GerardoMCanedo])
# [[User:Cristian_Borghello|Cristian Borghello]]（Cristian.Borghello@owasp.org - [Twitter: @seguinfo])
== Historic: ==

=== 2017 Release Candidate Translation Teams: ===

* Azerbaijanian: Rashad Aliyev (rashad@aliev.info)

* Chinese RC2:Rip、包悦忠、李旭勤、王颉、王厚奎、吴楠、徐瑞祝、夏天泽、张家银、张剑钟、赵学文(排名不分先后，按姓氏拼音排列) [https://www.owasp.org/images/d/d6/OWASP_Top_10_2017%EF%BC%88RC2%EF%BC%89%E4%B8%AD%E6%96%87%E7%89%88%EF%BC%88%E5%8F%91%E5%B8%83%E7%89%88%EF%BC%89.pdf OWASP Top10 2017 RC2 - Chinese PDF]
* French: Ludovic Petit: Ludovic.Petit@owasp.org, Sébastien Gioria: Sebastien.Gioria@owasp.org.
* Others to be listed.

=== 2013 Completed Translations: ===

* Arabic: [https://www.owasp.org/images/6/6a/OWASP_TOP_10_2013_Arabic.pdf OWASP Top 10 2013 - Arabic PDF] Translated by: Mohannad Shahat: Mohannad.Shahat@owasp.org, Fahad: @SecurityArk, Abdulellah Alsaheel: cs.saheel@gmail.com, Khalifa Alshamsi: Khs1618@gmail.com and Sabri(KING SABRI): king.sabri@gmail.com, Mohammed Aldossary: mohammed.aldossary@owasp.org
* Chinese 2013：中文版2013 [https://www.owasp.org/images/5/51/OWASP_Top_10_2013-Chinese-V1.2.pdf OWASP Top 10 2013 - Chinese (PDF)]. 项目组长： Rip、王颉，参与人员：陈亮、顾庆林、胡晓斌、李建蒙、王文君、杨天识、张在峰
* Czech 2013: [https://www.owasp.org/images/f/f3/OWASP_Top_10_-_2013_Final_-_Czech_V1.1.pdf OWASP Top 10 2013 - Czech (PDF)] [https://www.owasp.org/images/0/02/OWASP_Top_10_-_2013_Final_-_Czech_V1.1.pptx OWASP Top 10 2013 - Czech (PPTX)] CSIRT.CZ - CZ.NIC, z.s.p.o. (.cz domain registry): Petr Zavodsky: petr.zavodsky@owasp.org, Vaclav Klimes, Zuzana Duracinska, Michal Prokop, Edvard Rejthar, Pavel Basta
*French 2013: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013%20-%20French.pdf OWASP Top 10 2013 - French PDF] Ludovic Petit: Ludovic.Petit@owasp.org, Sébastien Gioria: Sebastien.Gioria@owasp.org, Erwan Abgrall: g4l4drim@gmail.com, Benjamin Avet: benjamin.avet@gmail.com, Jocelyn Aubert: jocelyn.aubert@owasp.org, Damien Azambour: damien.azambourg@owasp.org, Aline Barthelemy: aline.barthelemy@fr.abb.com, Moulay Abdsamad Belghiti: abdsamad.belghiti@gmail.com, Gregory Blanc: gregory.blanc@gmail.com, Clément Capel: clement.capel@sfr.com, Etienne Capgras: Etienne.capgras@solucom.fr, Julien Cayssol: julien@aqwz.com, Antonio Fontes: antonio.fontes@owasp.org, Ely de Travieso: Ely.detravieso@owasp.org, Nicolas Grégoire: nicolas.gregoire@agarri.fr, Valérie Lasserre: valerie.lasserre@gmx.fr, Antoine Laureau: antoine.laureau@owasp.org, Guillaume Lopes: lopes.guillaume@free.fr, Gilles Morain: gilles.morain@gmail.com, Christophe Pekar: christophe.pekar@owasp.org, Olivier Perret: perrets@free.fr, Michel Prunet: michel.prunet@owasp.org, Olivier Revollat: revollat@gmail.com, Aymeric Tabourin: aymeric.tabourin@orange.com
* German 2013: [[media:OWASP_Top_10_2013_DE_Version_1_0.pdf | OWASP Top 10 2013 - German PDF]] top10@owasp.de which is Frank Dölitzscher, Torsten Gigler, Tobias Glemser, Dr. Ingo Hanke, Thomas Herzog, [[User:Kai_Jendrian|Kai Jendrian]], [[User:Ralf_Reinhardt|Ralf Reinhardt]], Michael Schäfer
* Hebrew 2013: [[OWASP_Top10_Hebrew|OWASP Top 10 2013 - Hebrew]] [https://www.owasp.org/images/1/1b/OWASP_Top_10_2013-Hebrew.pdf PDF] Translated by: Or Katz, Eyal Estrin, Oran Yitzhak, Dan Peled, Shay Sivan.
* Italian 2013: [https://www.owasp.org/images/c/c9/OWASP_Top_10_-_2013_-_Italiano.pdf OWASP Top 10 2013 - Italian PDF] Translated by: Michele Saporito: m.saporito7@gmail.com, Paolo Perego: thesp0nge@owasp.org, Matteo Meucci: matteo.meucci@owasp.org, Sara Gallo: sara.gallo@gmail.com, Alessandro Guido: alex@securityaddicted.com, Mirko Guido Spezie: mirko@dayu.it, Giuseppe Di Cesare: giuseppe.dicesare@alice.it, Paco Schiaffella: schiaffella@gmail.com, Gianluca Grasso: giandou@gmail.com, Alessio D'Ospina: alessiodos@gmail.com, Loredana Mancini: loredana.mancini@business-e.it, Alessio Petracca: alessio.petracca@gmail.com, Giuseppe Trotta: giutrotta@gmail.com, Simone Onofri: simone.onofri@gmail.com, Francesco Cossu: hambucker@gmail.com, Marco Lancini: marco.lancini.ml@gmail.com, Stefano Zanero: zanero@elet.polimi.it, Giovanni Schmid: giovanni.schmid@na.icar.cnr.it, Igor Falcomata': koba@sikurezza.org
*Japanese 2013: [https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf OWASP Top 10 2013 - Japanese PDF] Translated by: Chia-Lung Hsieh: ryusuke.tw(at)gmail.com, Reviewed by: Hiroshi Tokumaru, Takanori Nakanowatari
* Korean 2013: [https://www.owasp.org/images/2/2c/OWASP_Top_10_-_2013_Final_-_Korean.pdf OWASP Top 10 2013 - Korean PDF] (이름가나다순) 김병효:byounghyo.kim@owasp.org, 김지원:jiwon.kim@owasp.or.kr, 김효근:katuri@katuri.kr, 박정훈:xelion@gmail.com, 성영모:youngmo.seong@owasp.or.kr, 성윤기:yune.sung@owasp.org, 송보영:boyoung.song@owasp.or.kr, 송창기:factor7@naver.com, 유정호:griphis77@gmail.com, 장상민:sangmin.jang@owasp.or.kr, 전영재:youngjae.jeon@owasp.org, 정가람:tgcarrot@gmail.com, 정홍순:jhs728@gmail.com, 조민재:johnny.cho@owasp.org,허성무:issimplenet@gmail.com
*Brazilian Portuguese 2013: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2013_Brazilian_Portuguese.pdf OWASP Top 10 2013 - Brazilian Portuguese PDF] Translated by: Carlos Serrão, Marcio Machry, Ícaro Evangelista de Torres, Carlo Marcelo Revoredo da Silva, Luiz Vieira, Suely Ramalho de Mello, Jorge Olímpia, Daniel Quintão, Mauro Risonho de Paula Assumpção, Marcelo Lopes, Caio Dias, Rodrigo Gularte
*Spanish 2013: [https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf OWASP Top 10 2013 - Spanish PDF] Gerardo Canedo: gerardo.canedo@owasp.org, Jorge Correa: jacorream@gmail.com, Fabien Spychiger: fabien.spychiger@dreamlab.net, Alberto Hill: alberto.daniel.hill@gmail.com, Johnatan Stanley: johnatanst@gmail.com, Maximiliano Alonzo: malonzo@tib.com.uy, Mateo Martinez: mateo.martinez@owasp.org, David Montero: david.montero@owasp.org, Rodrigo Martinez: rodmart@fing.edu.uy, Guillermo Skrilec: guillermo.skrilec@owasp.org, Felipe Zipitria: felipe.zipitria@owasp.org, Fabien Spychiger: fabien.spychiger@dreamlab.net, Rafael Gil: rafael.gillarios@owasp.org, Christian Lopez: christian.lopez.martin@owasp.org, jonathan fernandez jonathan.fernandez04@gmail.com, Paola Rodriguez: Paola_R1@verifone.com, Hector Aguirre: hector.antonio.aguirre@owasp.org, Roger Carhuatocto: rcarhuatocto@intix.info, Juan Carlos Calderon: johnccr@yahoo.com, Marc Rivero López: mriverolopez@gmail.com, Carlos Allendes: carlos.allendes@owasp.org, daniel@carrero.cl: daniel@carrero.cl, Manuel Ramírez: manuel.ramirez.s@gmail.com, Marco Miranda: marco.miranda@owasp.org, Mauricio D. Papaleo Mayada: mpapaleo@gmail.com, Felipe Sanchez: felipe.sanchez@peritajesinformaticos.cl, Juan Manuel Bahamonde: juanmanuel.bahamonde@gmail.com, Adrià Massanet: adriamassanet@gmail.com, Jorge Correa: jacorream@gmail.com, Ramiro Pulgar: ramiro.pulgar@owasp.org, German Alonso Suárez Guerrero: german.suarez@owasp.org, Jose A. Guasch: jaguasch@gmail.com, Edgar Salazar: edgar.salazar@owasp.org
*Ukrainian 2013: [https://www.owasp.org/images/e/e3/OWASP_Top_10_-_2013_Final_Ukrainian.pdf OWASP Top 10 2013 - Ukrainian PDF] Kateryna Ovechenko, Yuriy Fedko, Gleb Paharenko, Yevgeniya Maskayeva, Sergiy Shabashkevich, Bohdan Serednytsky

=== 2010 Completed Translations: ===

*Korean 2010: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Korean.pdf OWASP Top 10 2010 - Korean PDF] Hyungkeun Park, (mirrk1@gmail.com)
*Spanish 2010: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Spanish.pdf OWASP Top 10 2010 - Spanish PDF] *Daniel Cabezas Molina , Edgar Sanchez, Juan Carlos Calderon, Jose Antonio Guasch, Paulo Coronado, Rodrigo Marcos, Vicente Aguilera
*French 2010: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20French.pdf OWASP Top 10 2010 - French PDF] ludovic.petit@owasp.org, sebastien.gioria@owasp.org, antonio.fontes@owasp.org, benoit.guerette@owasp.org, Jocelyn.aubert@owasp.org, Eric.Garreau@gemalto.com, Guillaume.Huysmans@gemalto.com
*German: [[media:OWASPTop10_2010_DE_Version_1_0.pdf | OWASP Top 10 2010 - German PDF]] top10@owasp.de which is Frank Dölitzscher, Tobias Glemser, Dr. Ingo Hanke, [[User:Kai_Jendrian|Kai Jendrian]], [[User:Ralf_Reinhardt|Ralf Reinhardt]], Michael Schäfer
*Indonesian: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Indonesian.pdf OWASP Top 10 2010 - Indonesian PDF] Tedi Heriyanto (coordinator), Lathifah Arief, Tri A Sundara, Zaki Akhmad
*Italian: [https://www.owasp.org/images/f/f9/OWASP_Top_10_-_2010_ITA.pdf OWASP Top 10 2010 - Italian PDF] Simone Onofri, Paolo Perego, Massimo Biagiotti, Edoardo Viscosi, Salvatore Fiorillo, Roberto Battistoni, Loredana Mancini, Michele Nesta, Paco Schiaffella, Lucilla Mancini, Gerardo Di Giacomo, Valentino Squilloni
*Japanese: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Japanese-A4.pdf OWASP Top 10 2010 - Japanese PDF] cecil.su@owasp.org, Dr. Masayuki Hisada, Yoshimasa Kawamoto, Ryusuke Sakamoto, Keisuke Seki, Shin Umemoto, Takashi Arima
*Chinese: [https://www.owasp.org/images/a/a9/OWASP_Top_10_2010_Chinese_V1.0_Released.pdf OWASP Top 10 2010 - Chinese PDF] 感谢以下为中文版本做出贡献的翻译人员和审核人员: Rip Torn, 钟卫林, 高雯, 王颉, 于振东
*Vietnamese: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASPTop%2010%20-%202010%20Vietnamese.pdf OWASP Top 10 2010 - Vietnamese PDF] Translation lead by Cecil Su - Translation Team: Dang Hoang Vu, Nguyen Ba Tien, Nguyen Tang Hung, Luong Dieu Phuong, Huynh Thien Tam
*Hebrew: [[OWASP_Top10_Hebrew|OWASP Top 10 Hebrew Project]] -- [https://www.owasp.org/images/c/cd/OWASP_Top_10_Heb.pdf OWASP Top 10 2010 - Hebrew PDF]. Lead by Or Katz, see translation page for list of contributors.

= OWASP Top 10 for 2013 =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

On June 12, 2013 the OWASP Top 10 for 2013 was officially released. This version was updated based on numerous comments received during the comment period after the release candidate was released in Feb. 2013.

* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013.pdf OWASP Top 10 2013 document (PDF)].
* [[Top_10_2013 | OWASP Top 10 2013 - Wiki.]]
* [https://www.owasp.org/images/6/6a/OWASP_TOP_10_2013_Arabic.pdf OWASP Top 10 2013 - Arabic (PDF)].
* [https://www.owasp.org/images/5/51/OWASP_Top_10_2013-Chinese-V1.2.pdf OWASP Top 10 2013 - Chinese (PDF)].
* [https://www.owasp.org/images/f/f3/OWASP_Top_10_-_2013_Final_-_Czech_V1.1.pdf OWASP Top 10 2013 - Czech (PDF)].
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013%20-%20French.pdf OWASP Top 10 2013 - French (PDF)].
* [[media:OWASP_Top_10_2013_DE_Version_1_0.pdf | OWASP Top 10 2013 - German (PDF)]]
* [[OWASP_Top10_Hebrew|OWASP Top 10 2013 - Hebrew]] [https://www.owasp.org/images/1/1b/OWASP_Top_10_2013-Hebrew.pdf (PDF)]
* [https://www.owasp.org/images/c/c9/OWASP_Top_10_-_2013_-_Italiano.pdf OWASP Top 10 2013 - Italian (PDF)]
* [https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf OWASP Top 10 2013 - Japanese (PDF)].
* [https://www.owasp.org/images/2/2c/OWASP_Top_10_-_2013_Final_-_Korean.pdf OWASP Top 10 2013 - Korea (PDF)].
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2013_Brazilian_Portuguese.pdf OWASP Top 10 2013 - Brazilian Portuguese (PDF)].
* [https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf OWASP Top 10 2013 - Spanish (PDF)]
* [https://www.owasp.org/images/e/e3/OWASP_Top_10_-_2013_Final_Ukrainian.pdf OWASP Top 10 2013 - Ukrainian (PDF)]
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top-10_2013%20-%20Presentation.pptx OWASP Top 10 2013 Presentation - Presenting Each Item in the Top 10 (PPTX)].

For 2013, the OWASP Top 10 Most Critical Web Application Security Risks are:

* [[Top_10_2013-A1-Injection | A1 Injection]]
* [[Top_10_2013-A2-Broken_Authentication_and_Session_Management | A2 Broken Authentication and Session Management]]
* [[Top_10_2013-A3-Cross-Site_Scripting_(XSS) | A3 Cross-Site Scripting (XSS)]]
* [[Top_10_2013-A4-Insecure_Direct_Object_References | A4 Insecure Direct Object References]]
* [[Top_10_2013-A5-Security_Misconfiguration | A5 Security Misconfiguration]]
* [[Top_10_2013-A6-Sensitive_Data_Exposure | A6 Sensitive Data Exposure]]
* [[Top_10_2013-A7-Missing_Function_Level_Access_Control | A7 Missing Function Level Access Control]]
* [[Top_10_2013-A8-Cross-Site_Request_Forgery_(CSRF) | A8 Cross-Site Request Forgery (CSRF)]]
* [[Top_10_2013-A9-Using_Components_with_Known_Vulnerabilities | A9 Using Components with Known Vulnerabilities]]
* [[Top_10_2013-A10-Unvalidated_Redirects_and_Forwards | A10 Unvalidated Redirects and Forwards]]

If you are interested, the methodology for how the Top 10 is produced is now documented here: [[Top_10_2013/ProjectMethodology | OWASP Top 10 Development Methodology]]

Please help us make sure every developer in the ENTIRE WORLD knows about the OWASP Top 10 by helping to spread the word!!!

As you help us spread the word, please emphasize:

*OWASP is reaching out to developers, not just the application security community
*The Top 10 is about managing risk, not just avoiding vulnerabilities
*To manage these risks, organizations need an application risk management program, not just awareness training, app testing, and remediation

We need to encourage organizations to get off the penetrate and patch mentality. As Jeff Williams said in his 2009 OWASP AppSec DC Keynote: “we’ll never hack our way secure – it’s going to take a culture change” for organizations to properly address application security.

== Introduction ==

The OWASP Top 10 is a powerful awareness document for web application security. It represents a broad consensus about the most critical security risks to web applications. Project members include a variety of security experts from around the world who have shared their expertise to produce this list. Versions of the 2007 and 2010 version were translated into English, French, Spanish, Japanese, Korean and Turkish and other languages. The 2013 version was translated into even more languages.

We urge all companies to adopt this awareness document within their organization and start the process of ensuring that their web applications minimize these risks. Adopting the OWASP Top 10 is perhaps the most effective first step towards changing the software development culture within your organization into one that produces secure code.

== Changes between 2010 and 2013 Editions ==

The OWASP Top 10 - 2013 includes the following changes as compared to the 2010 edition:

* A1 Injection
* A2 Broken Authentication and Session Management (was formerly 2010-A3)
* A3 Cross-Site Scripting (XSS) (was formerly 2010-A2)
* A4 Insecure Direct Object References
* A5 Security Misconfiguration (was formerly 2010-A6)
* A6 Sensitive Data Exposure (2010-A7 Insecure Cryptographic Storage and 2010-A9 Insufficient Transport Layer Protection were merged to form 2013-A6)
* A7 Missing Function Level Access Control (renamed/broadened from 2010-A8 Failure to Restrict URL Access)
* A8 Cross-Site Request Forgery (CSRF) (was formerly 2010-A5)
* A9 Using Components with Known Vulnerabilities (new but was part of 2010-A6 – Security Misconfiguration)
* A10 Unvalidated Redirects and Forwards

== Other 2013 Top 10 Docs ==

*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP Top 10 - 2013 - Release Candidate]
*[https://www.owasp.org/images/3/3d/OWASP_Top_10_-_2013_Final_Release_-_Change_Log.docx OWASP Top 10 - 2013 - Final Release - Change Log (docx)]
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top-10_2013%20-%20Changes-from-2010.pptx Focusing on What Changed Since 2010 (PPTX)]

[[File:OWASP_Web_Top_10_for_2013.png]]

== Feedback ==

Please let us know how your organization is using the OWASP Top 10. Include your name, organization's name, and brief description of how you use the list. Thanks for supporting OWASP!

We hope you find the information in the OWASP Top 10 useful. Please contribute back to the project by sending your comments, questions, and suggestions to topten@lists.owasp.org. Thanks!

To join the OWASP Top 10 mailing list or view the archives, please visit the [http://lists.owasp.org/mailman/listinfo/owasp-topten subscription page.]

== Project Sponsors ==

The OWASP Top 10 project is sponsored by {{MemberLinks|link=https://www.aspectsecurity.com|logo=Aspect_logo_owasp.jpg}}



= OWASP Top 10 for 2010 =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

On April 19, 2010 the final version of the OWASP Top 10 for 2010 was released, and here is the associated [[OWASPTop10-2010-PressRelease|press release]]. This version was updated based on numerous comments received during the comment period after the release candidate was released in Nov. 2009.

*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010.pdf OWASP Top 10 - 2010 Document]
*[[Top 10 2010|OWASP Top 10 - 2010 - wiki]]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2010%20Presentation.pptx OWASP Top 10 - 2010 Presentation]
*[http://blip.tv/owasp-appsec-conference-in-europe/day2_track1_1430-1505-3936900 OWASP Top 10 Video of the Presentation above - this focused alot on the Top 10 for 2010 approach, rather than the details. (From OWASP AppSec EU 2010)]
*[http://www.vimeo.com/9006276 OWASP Top 10 Video of this Presentation when the Top 10 for 2010 was 1st released for comment - this goes through each item in the Top 10. (From OWASP AppSec DC 2009)]

For 2010, the OWASP Top 10 Most Critical Web Application Security Risks are:

*[[Top_10_2010-A1|A1: Injection]]
*[[Top_10_2010-A2|A2: Cross-Site Scripting (XSS)]]
*[[Top_10_2010-A3|A3: Broken Authentication and Session Management]]
*[[Top_10_2010-A4|A4: Insecure Direct Object References]]
*[[Top_10_2010-A5|A5: Cross-Site Request Forgery (CSRF)]]
*[[Top_10_2010-A6|A6: Security Misconfiguration]]
*[[Top_10_2010-A7|A7: Insecure Cryptographic Storage]]
*[[Top_10_2010-A8|A8: Failure to Restrict URL Access]]
*[[Top_10_2010-A9|A9: Insufficient Transport Layer Protection]]
*[[Top_10_2010-A10|A10: Unvalidated Redirects and Forwards]]

== Introduction ==

The OWASP Top 10 is a powerful awareness document for web application security. It represents a broad consensus about the most critical security risks to web applications. Project members include a variety of security experts from around the world who have shared their expertise to produce this list. Versions of the 2007 were translated into English, French, Spanish, Japanese, Korean and Turkish and other languages and the 2010 version was translated into even more languages. See below for all the translated versions.

== 2010 Versions ==

2010 Edition:

*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010.pdf OWASP Top 10 2010 - PDF]
*[[Top 10 2010|OWASP Top 10 2010 - wiki]]

2010 Translations:

*[https://www.owasp.org/images/a/a9/OWASP_Top_10_2010_Chinese_V1.0_Released.pdf OWASP Top 10 2010 - Chinese PDF / 这里下载PDF格式文档]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20French.pdf OWASP Top 10 2010 - French PDF]
*[[media:OWASPTop10_2010_DE_Version_1_0.pdf | OWASP Top 10 2010 - German PDF]]
*[https://www.owasp.org/images/c/cd/OWASP_Top_10_Heb.pdf OWASP Top 10 2010 - Hebrew PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Indonesian.pdf OWASP Top 10 2010 - Indonesian PDF]
*[https://www.owasp.org/images/f/f9/OWASP_Top_10_-_2010_ITA.pdf OWASP Top 10 2010 - Italian PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Japanese-A4.pdf OWASP Top 10 2010 - Japanese PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Korean.pdf OWASP Top 10 2010 - Korean PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Spanish.pdf OWASP Top 10 2010 - Spanish PDF]
*[https://www.owasp.org/images/8/86/OWASP_Top_10_-_2010_FINAL_%28spanish%29.pptx OWASP Top 10 2010 - Spanish PPT]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASPTop%2010%20-%202010%20Vietnamese.pdf OWASP Top 10 2010 - Vietnamese PDF]

2010 Release Candidate:

*[https://www.owasp.org/index.php/File:OWASP_T10_-_2010_rc1.pdf OWASP Top 10 2010 Release Candidate]
*[https://www.owasp.org/images/e/e1/OWASP_Top_10_RC-Public_Comments.docx OWASP Top 10 2010 Release Candidate Comments], except for one set of scanned comments [https://www.owasp.org/images/2/2e/OWASP_T10_-_2010_rc1_cmts_Kai_Jendrian.pdf which are here].

Previous versions:

*[https://www.owasp.org/images/e/e8/OWASP_Top_10_2007.pdf OWASP Top 10 2007 - PDF]
*[[Top 10 2007|OWASP Top 10 2007 - wiki]]
*[https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=Project_Details OWASP Top 10 2007 - PDF Translations are here]
*[[Top 10 2004|OWASP Top 10 2004 - wiki]]

= Project Details =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

{{:GPC_Project_Details/OWASP_Top10 | OWASP Project Identification Tab}}

= Some Commercial & OWASP Uses of the Top 10 =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

'''Warning''': these articles have not been rated for accuracy by OWASP. Product companies should be extremely careful about claiming to "cover" or "ensure compliance" with the OWASP Top 10. The current state-of-the-art for automated detection (scanners and static analysis) and prevention (WAF) is nowhere near sufficient to claim adequate coverage of the issues in the Top 10. Nevertheless, using the Top 10 as a simple way to communicate security to end users is effective.

;[https://blogs.microsoft.com/microsoftsecure/2008/05/01/sdl-and-the-owasp-top-ten/ Microsoft]
:as a way to measure the coverage of their SDL and improve security

;[https://www.pcisecuritystandards.org/index.shtml PCI Council]
:as part of the Payment Card Industry Data Security Standard (PCI DSS)

;[http://msdn.microsoft.com/en-us/library/dd129898.aspx Microsoft]
:to show how "T10 threats are handled by the security design and test procedures of Microsoft"

;[[OWASP_Top_10/Mapping_to_WHID | OWASP]]
:OWASP Top 10 Mapped to the Web Hacking Incident Database

;[[OWASP_Mobile_Security_Project#tab=Top_Ten_Mobile_Risks | OWASP]]
:OWASP Mobile Top 10 Risks

;[[OWASP_Top_Ten_Cheat_Sheet | OWASP]]
:OWASP Top 10 Cheat Sheet

__NOTOC__ <headertabs />

[[Category:OWASP_Project]] [[Category:OWASP_Document]] [[Category:OWASP_Download]] [[Category:OWASP_Release_Quality_Document]][[Category:Popular]][[Category:SAMM-EG-1]]

Category:OWASP Top Ten Project

2019-02-28T20:59:09Z

T.Gigler: Added the Portuguese version of OWASP Top 10-2017

=Main=
<div style="width:100%;height:90px;border:0,margin:0;overflow: hidden;">[[File: flagship_big.jpg|link=https://www.owasp.org/index.php/OWASP_Project_Stages#tab=Flagship_Projects]]</div>
{| style="padding: 0;margin:0;margin-top:10px;text-align:left;" |-
| valign="top" style="border-right: 1px dotted gray;padding-right:25px;" |

== OWASP Top 10 2017 Released==
The [[Media:OWASP_Top_10-2017_(en).pdf.pdf| OWASP Top 10 - 2017]] is now available.

==OWASP Top 10 Most Critical Web Application Security Risks==

The OWASP Top 10 is a powerful awareness document for web application security. It represents a broad consensus about the most critical security risks to web applications. Project members include a variety of security experts from around the world who have shared their expertise to produce this list.

We urge all companies to adopt this awareness document within their organization and start the process of ensuring that their web applications minimize these risks. Adopting the OWASP Top 10 is perhaps the most effective first step towards changing the software development culture within your organization into one that produces secure code.

==Translation Efforts==

The OWASP Top 10 has been translated to many different languages by numerous volunteers. These translations are available as follows:

* [[Top10#Translation_Efforts_2 | OWASP Top 10 - 2017 translations are currently underway]]
* [[Top10#OWASP_Top_10_for_2013 | All versions of the OWASP Top 10 - 2013]]
* [[Top10#OWASP_Top_10_for_2010 | All versions of the OWASP Top 10 - 2010]]

== Related Projects ==

* [[OWASP_Mobile_Security_Project#Top_Ten_Mobile_Risks | OWASP Mobile Top 10 Risks]]

* [[OWASP_Proactive_Controls | Top 10 Proactive Controls]]

== Project Sponsors ==

The OWASP Top 10 - 2017 project is sponsored by

{{MemberLinks|link=https://www.autodesk.com|logo=Autodesk-logo.png}}

Thanks to [https://www.aspectsecurity.com Aspect Security] for sponsoring earlier versions.

==Licensing==
The OWASP Top 10 is free to use. It is licensed under the [http://creativecommons.org/licenses/by-sa/4.0/ Creative Commons Attribution-ShareAlike 4.0 license].

| valign="top" style="padding-left:25px;width:200px;" |

== Quick Download ==
* [[Media:OWASP_Top_10-2017_(en).pdf.pdf| OWASP Top 10 - 2017 - PDF]]
* [[:Category:OWASP Top Ten 2017 Project | OWASP Top 10 - 2017 - wiki]]
* Historic:
:* [[Media:OWASP_Top_10_-_2013.pdf | OWASP Top 10 2013 - PDF]]
:* [[Top_10_2013 | OWASP Top 10 2013 - wiki]]
:* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top-10_2013%20-%20Presentation.pptx OWASP Top 10 2013 Presentation (PPTX)].

== Donate to OWASP ==
<div class="center" style="width: auto; margin-left: auto; margin-right: auto;">{{#widget:PayPal Donation
|target=_blank
|budget=Other (Website Donation) }}</div>

== Get Involved ==
* [https://github.com/OWASP/Top10/issues Top 10 Issues on GitHub](preferred)
* [https://lists.owasp.org/mailman/listinfo/Owasp-topten Project Email List]

== News and Events ==
* [20 Oct 2017] OWASP Top 10 2017 - RC2 Published
* [20 May 2016] OWASP Top 10 - 2017 Data Call Announced
* [12 Jun 2013] OWASP Top 10 - 2013 Final Released

== Project Leaders ==

* [[User:vanderaj | Andrew van der Stock]]
* [[User:Neil_Smithline | Neil Smithline]]
* [[User:T.Gigler | Torsten Gigler]]

==Classifications==

{| width="200" cellpadding="2"
|-
| align="center" valign="top" width="50%" rowspan="2"| [[File:Owasp-flagship-trans-85.png|link=https://www.owasp.org/index.php/OWASP_Project_Stages#tab=Flagship_Projects]]
| align="center" valign="top" width="50%"| [[File:Owasp-builders-small.png|link=]]
|-
| align="center" valign="top" width="50%"| [[File:Owasp-defenders-small.png|link=]]
|-
| colspan="2" align="center" | [[File:Cc-button-y-sa-small.png|link=http://creativecommons.org/licenses/by-sa/3.0/]]
|-
| colspan="2" align="center" | [[File:Project_Type_Files_DOC.jpg|link=]]
|}

|}

= Translation Efforts =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

Efforts are underway in numerous languages to translate the OWASP Top 10 - 2017. If you are interested in helping, please contact the members of the team for the language you are interested in contributing to, or if you don't see your language listed (neither here nor at [https://github.com/OWASP/Top10/issues?utf8=%E2%9C%93&q=is%3Aissue github]), please email owasp-topten@lists.owasp.org to let us know that you want to help and we'll form a volunteer group for your language.
We have compiled this [https://github.com/OWASP/Top10/blob/master/2017/translations/README.TRANSLATIONS README.TRANSLATIONS] with some hints to help you with your translation.

=== 2017 Completed Translations: ===
* Chinese: [[Media:OWASP_Top_10_2017_%E4%B8%AD%E6%96%87%E7%89%88v1.3.pdf|OWASP Top 10-2017 - 中文版（PDF)]] 
# 项目组长：[[User:Jie_Wang|王颉]]（wangj@owasp.org.cn）
# 翻译人员：陈亮、王厚奎、王颉、王文君、王晓飞、吴楠、徐瑞祝、夏天泽、杨璐、张剑钟、赵学文（排名不分先后，按姓氏拼音排列）
# 审查人员：Rip、包悦忠、李旭勤、杨天识、张家银（排名不分先后，按姓氏拼音排列）
# 汇编人员：赵学文

* German: [[media:OWASP_Top_10-2017_de_V1.0.pdf | OWASP Top 10 2017 in German V1.0 (Pdf)]] compiled by Christian Dresen, Alexios Fakos, Louisa Frick, Torsten Gigler, Tobias Glemser, Dr. Frank Gut, Dr. Ingo Hanke, Dr. Thomas Herzog, Dr. Markus Koegel, Sebastian Klipper, Jens Liebau, Ralf Reinhardt, Martin Riedel, Michael Schaefer

* Hebrew: [[Media:OWASP-Top-10-2017-he.pdf| OWASP Top 10-2017 - Hebrew (PDF)]]  [[Media:OWASP-Top-10-2017-he.pptx|(PPTX)]] translated by Eyal Estrin (Twitter: @eyalestrin) and Omer Levi Hevroni (Twitter: @omerlh).

* Japanese: [[Media:OWASP_Top_10-2017%28ja%29.pdf|OWASP Top 10-2017 - 日本語版 (PDF)]] translated and reviewed by Akitsugu ITO, Albert Hsieh, Chie TAZAWA, Hideko IGARASHI, Hiroshi TOKUMARU, Naoto KATSUMI, Riotaro OKADA, Robert DRACEA, Satoru TAKAHASHI, Sen UENO, Shoichi NAKATA, Takanori NAKANOWATARI ,Takanori ANDO, Tomohiro SANAE.

* Korean: [[Media:OWASP_Top_10-2017-ko.pdf|OWASP Top 10-2017 - 한글 (PDF)]]  [[Media:OWASP_Top_10-2017-ko.pptx|(PPTX)]] 번역 프로젝트 관리 및 감수 : 박형근(Hyungkeun Park) / 감수(ㄱㄴㄷ순) : 강용석(YongSeok Kang), 박창렴(Park Changryum), 조민재(Johnny Cho) / 편집 및 감수 : 신상원(Shin Sangwon) / 번역(ㄱㄴㄷ순) : 김영하(Youngha Kim), 박상영(Sangyoung Park), 이민욱(MinWook Lee), 정초아(JUNG CHOAH), 조광렬(CHO KWANG YULL), 최한동(Handong Choi)

* Portuguese [[Media:OWASP_Top_10-2017-pt_pt.pdf|OWASP Top 10 2017 - Portuguese (PDF)]] [https://github.com/OWASP/Top10/raw/master/2017/OWASP%20Top%2010-2017-pt_pt.odp (ODP)] translated by Anabela Nogueira, Carlos Serrão, Guillaume Lopes, João Pinto, João Samouco, Kembolle A. Oliveira, Paulo A. Silva, Ricardo Mourato, Rui Silva, Sérgio Domingues, Tiago Reis, Vítor Magano.

* Spanish: [[Media:OWASP-Top-10-2017-es.pdf|OWASP Top 10-2017 - Español (PDF)]] 
# [[User:Gerardo_Canedo|Gerardo Canedo]]（Gerardo.Canedo@owasp.org - [https://www.twitter.com/GerardoMCanedo @GerardoMCanedo])
# [[User:Cristian_Borghello|Cristian Borghello]]（Cristian.Borghello@owasp.org - [https://www.twitter.com/seguinfo @seguinfo])

* Russian: [[Media:OWASP Top 10-2017-ru.pdf|OWASP Top 10-2017 - на русском языке (PDF)]] translated and reviewed by JZDLin ([https://github.com/JZDLin @JZDLin]), Oleksii Skachkov ([https://github.com/hamster4n @hamster4n]), Ivan Kochurkin ([https://github.com/KvanTTT @KvanTTT]) and [[User:Taras_Ivashchenko|Taras Ivashchenko]]

== Historic: ==

=== 2017 Release Candidate Translation Teams: ===

* Azerbaijanian: Rashad Aliyev (rashad@aliev.info)

* Chinese RC2:Rip、包悦忠、李旭勤、王颉、王厚奎、吴楠、徐瑞祝、夏天泽、张家银、张剑钟、赵学文(排名不分先后，按姓氏拼音排列) [https://www.owasp.org/images/d/d6/OWASP_Top_10_2017%EF%BC%88RC2%EF%BC%89%E4%B8%AD%E6%96%87%E7%89%88%EF%BC%88%E5%8F%91%E5%B8%83%E7%89%88%EF%BC%89.pdf OWASP Top10 2017 RC2 - Chinese PDF]
* French: Ludovic Petit: Ludovic.Petit@owasp.org, Sébastien Gioria: Sebastien.Gioria@owasp.org.
* Others to be listed.

=== 2013 Completed Translations: ===

* Arabic: [https://www.owasp.org/images/6/6a/OWASP_TOP_10_2013_Arabic.pdf OWASP Top 10 2013 - Arabic PDF] Translated by: Mohannad Shahat: Mohannad.Shahat@owasp.org, Fahad: @SecurityArk, Abdulellah Alsaheel: cs.saheel@gmail.com, Khalifa Alshamsi: Khs1618@gmail.com and Sabri(KING SABRI): king.sabri@gmail.com, Mohammed Aldossary: mohammed.aldossary@owasp.org
* Chinese 2013：中文版2013 [https://www.owasp.org/images/5/51/OWASP_Top_10_2013-Chinese-V1.2.pdf OWASP Top 10 2013 - Chinese (PDF)]. 项目组长： Rip、王颉，参与人员：陈亮、顾庆林、胡晓斌、李建蒙、王文君、杨天识、张在峰
* Czech 2013: [https://www.owasp.org/images/f/f3/OWASP_Top_10_-_2013_Final_-_Czech_V1.1.pdf OWASP Top 10 2013 - Czech (PDF)] [https://www.owasp.org/images/0/02/OWASP_Top_10_-_2013_Final_-_Czech_V1.1.pptx OWASP Top 10 2013 - Czech (PPTX)] CSIRT.CZ - CZ.NIC, z.s.p.o. (.cz domain registry): Petr Zavodsky: petr.zavodsky@owasp.org, Vaclav Klimes, Zuzana Duracinska, Michal Prokop, Edvard Rejthar, Pavel Basta
*French 2013: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013%20-%20French.pdf OWASP Top 10 2013 - French PDF] Ludovic Petit: Ludovic.Petit@owasp.org, Sébastien Gioria: Sebastien.Gioria@owasp.org, Erwan Abgrall: g4l4drim@gmail.com, Benjamin Avet: benjamin.avet@gmail.com, Jocelyn Aubert: jocelyn.aubert@owasp.org, Damien Azambour: damien.azambourg@owasp.org, Aline Barthelemy: aline.barthelemy@fr.abb.com, Moulay Abdsamad Belghiti: abdsamad.belghiti@gmail.com, Gregory Blanc: gregory.blanc@gmail.com, Clément Capel: clement.capel@sfr.com, Etienne Capgras: Etienne.capgras@solucom.fr, Julien Cayssol: julien@aqwz.com, Antonio Fontes: antonio.fontes@owasp.org, Ely de Travieso: Ely.detravieso@owasp.org, Nicolas Grégoire: nicolas.gregoire@agarri.fr, Valérie Lasserre: valerie.lasserre@gmx.fr, Antoine Laureau: antoine.laureau@owasp.org, Guillaume Lopes: lopes.guillaume@free.fr, Gilles Morain: gilles.morain@gmail.com, Christophe Pekar: christophe.pekar@owasp.org, Olivier Perret: perrets@free.fr, Michel Prunet: michel.prunet@owasp.org, Olivier Revollat: revollat@gmail.com, Aymeric Tabourin: aymeric.tabourin@orange.com
* German 2013: [[media:OWASP_Top_10_2013_DE_Version_1_0.pdf | OWASP Top 10 2013 - German PDF]] top10@owasp.de which is Frank Dölitzscher, Torsten Gigler, Tobias Glemser, Dr. Ingo Hanke, Thomas Herzog, [[User:Kai_Jendrian|Kai Jendrian]], [[User:Ralf_Reinhardt|Ralf Reinhardt]], Michael Schäfer
* Hebrew 2013: [[OWASP_Top10_Hebrew|OWASP Top 10 2013 - Hebrew]] [https://www.owasp.org/images/1/1b/OWASP_Top_10_2013-Hebrew.pdf PDF] Translated by: Or Katz, Eyal Estrin, Oran Yitzhak, Dan Peled, Shay Sivan.
* Italian 2013: [https://www.owasp.org/images/c/c9/OWASP_Top_10_-_2013_-_Italiano.pdf OWASP Top 10 2013 - Italian PDF] Translated by: Michele Saporito: m.saporito7@gmail.com, Paolo Perego: thesp0nge@owasp.org, Matteo Meucci: matteo.meucci@owasp.org, Sara Gallo: sara.gallo@gmail.com, Alessandro Guido: alex@securityaddicted.com, Mirko Guido Spezie: mirko@dayu.it, Giuseppe Di Cesare: giuseppe.dicesare@alice.it, Paco Schiaffella: schiaffella@gmail.com, Gianluca Grasso: giandou@gmail.com, Alessio D'Ospina: alessiodos@gmail.com, Loredana Mancini: loredana.mancini@business-e.it, Alessio Petracca: alessio.petracca@gmail.com, Giuseppe Trotta: giutrotta@gmail.com, Simone Onofri: simone.onofri@gmail.com, Francesco Cossu: hambucker@gmail.com, Marco Lancini: marco.lancini.ml@gmail.com, Stefano Zanero: zanero@elet.polimi.it, Giovanni Schmid: giovanni.schmid@na.icar.cnr.it, Igor Falcomata': koba@sikurezza.org
*Japanese 2013: [https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf OWASP Top 10 2013 - Japanese PDF] Translated by: Chia-Lung Hsieh: ryusuke.tw(at)gmail.com, Reviewed by: Hiroshi Tokumaru, Takanori Nakanowatari
* Korean 2013: [https://www.owasp.org/images/2/2c/OWASP_Top_10_-_2013_Final_-_Korean.pdf OWASP Top 10 2013 - Korean PDF] (이름가나다순) 김병효:byounghyo.kim@owasp.org, 김지원:jiwon.kim@owasp.or.kr, 김효근:katuri@katuri.kr, 박정훈:xelion@gmail.com, 성영모:youngmo.seong@owasp.or.kr, 성윤기:yune.sung@owasp.org, 송보영:boyoung.song@owasp.or.kr, 송창기:factor7@naver.com, 유정호:griphis77@gmail.com, 장상민:sangmin.jang@owasp.or.kr, 전영재:youngjae.jeon@owasp.org, 정가람:tgcarrot@gmail.com, 정홍순:jhs728@gmail.com, 조민재:johnny.cho@owasp.org,허성무:issimplenet@gmail.com
*Brazilian Portuguese 2013: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2013_Brazilian_Portuguese.pdf OWASP Top 10 2013 - Brazilian Portuguese PDF] Translated by: Carlos Serrão, Marcio Machry, Ícaro Evangelista de Torres, Carlo Marcelo Revoredo da Silva, Luiz Vieira, Suely Ramalho de Mello, Jorge Olímpia, Daniel Quintão, Mauro Risonho de Paula Assumpção, Marcelo Lopes, Caio Dias, Rodrigo Gularte
*Spanish 2013: [https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf OWASP Top 10 2013 - Spanish PDF] Gerardo Canedo: gerardo.canedo@owasp.org, Jorge Correa: jacorream@gmail.com, Fabien Spychiger: fabien.spychiger@dreamlab.net, Alberto Hill: alberto.daniel.hill@gmail.com, Johnatan Stanley: johnatanst@gmail.com, Maximiliano Alonzo: malonzo@tib.com.uy, Mateo Martinez: mateo.martinez@owasp.org, David Montero: david.montero@owasp.org, Rodrigo Martinez: rodmart@fing.edu.uy, Guillermo Skrilec: guillermo.skrilec@owasp.org, Felipe Zipitria: felipe.zipitria@owasp.org, Fabien Spychiger: fabien.spychiger@dreamlab.net, Rafael Gil: rafael.gillarios@owasp.org, Christian Lopez: christian.lopez.martin@owasp.org, jonathan fernandez jonathan.fernandez04@gmail.com, Paola Rodriguez: Paola_R1@verifone.com, Hector Aguirre: hector.antonio.aguirre@owasp.org, Roger Carhuatocto: rcarhuatocto@intix.info, Juan Carlos Calderon: johnccr@yahoo.com, Marc Rivero López: mriverolopez@gmail.com, Carlos Allendes: carlos.allendes@owasp.org, daniel@carrero.cl: daniel@carrero.cl, Manuel Ramírez: manuel.ramirez.s@gmail.com, Marco Miranda: marco.miranda@owasp.org, Mauricio D. Papaleo Mayada: mpapaleo@gmail.com, Felipe Sanchez: felipe.sanchez@peritajesinformaticos.cl, Juan Manuel Bahamonde: juanmanuel.bahamonde@gmail.com, Adrià Massanet: adriamassanet@gmail.com, Jorge Correa: jacorream@gmail.com, Ramiro Pulgar: ramiro.pulgar@owasp.org, German Alonso Suárez Guerrero: german.suarez@owasp.org, Jose A. Guasch: jaguasch@gmail.com, Edgar Salazar: edgar.salazar@owasp.org
*Ukrainian 2013: [https://www.owasp.org/images/e/e3/OWASP_Top_10_-_2013_Final_Ukrainian.pdf OWASP Top 10 2013 - Ukrainian PDF] Kateryna Ovechenko, Yuriy Fedko, Gleb Paharenko, Yevgeniya Maskayeva, Sergiy Shabashkevich, Bohdan Serednytsky

=== 2010 Completed Translations: ===

*Korean 2010: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Korean.pdf OWASP Top 10 2010 - Korean PDF] Hyungkeun Park, (mirrk1@gmail.com)
*Spanish 2010: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Spanish.pdf OWASP Top 10 2010 - Spanish PDF] *Daniel Cabezas Molina , Edgar Sanchez, Juan Carlos Calderon, Jose Antonio Guasch, Paulo Coronado, Rodrigo Marcos, Vicente Aguilera
*French 2010: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20French.pdf OWASP Top 10 2010 - French PDF] ludovic.petit@owasp.org, sebastien.gioria@owasp.org, antonio.fontes@owasp.org, benoit.guerette@owasp.org, Jocelyn.aubert@owasp.org, Eric.Garreau@gemalto.com, Guillaume.Huysmans@gemalto.com
*German: [[media:OWASPTop10_2010_DE_Version_1_0.pdf | OWASP Top 10 2010 - German PDF]] top10@owasp.de which is Frank Dölitzscher, Tobias Glemser, Dr. Ingo Hanke, [[User:Kai_Jendrian|Kai Jendrian]], [[User:Ralf_Reinhardt|Ralf Reinhardt]], Michael Schäfer
*Indonesian: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Indonesian.pdf OWASP Top 10 2010 - Indonesian PDF] Tedi Heriyanto (coordinator), Lathifah Arief, Tri A Sundara, Zaki Akhmad
*Italian: [https://www.owasp.org/images/f/f9/OWASP_Top_10_-_2010_ITA.pdf OWASP Top 10 2010 - Italian PDF] Simone Onofri, Paolo Perego, Massimo Biagiotti, Edoardo Viscosi, Salvatore Fiorillo, Roberto Battistoni, Loredana Mancini, Michele Nesta, Paco Schiaffella, Lucilla Mancini, Gerardo Di Giacomo, Valentino Squilloni
*Japanese: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Japanese-A4.pdf OWASP Top 10 2010 - Japanese PDF] cecil.su@owasp.org, Dr. Masayuki Hisada, Yoshimasa Kawamoto, Ryusuke Sakamoto, Keisuke Seki, Shin Umemoto, Takashi Arima
*Chinese: [https://www.owasp.org/images/a/a9/OWASP_Top_10_2010_Chinese_V1.0_Released.pdf OWASP Top 10 2010 - Chinese PDF] 感谢以下为中文版本做出贡献的翻译人员和审核人员: Rip Torn, 钟卫林, 高雯, 王颉, 于振东
*Vietnamese: [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASPTop%2010%20-%202010%20Vietnamese.pdf OWASP Top 10 2010 - Vietnamese PDF] Translation lead by Cecil Su - Translation Team: Dang Hoang Vu, Nguyen Ba Tien, Nguyen Tang Hung, Luong Dieu Phuong, Huynh Thien Tam
*Hebrew: [[OWASP_Top10_Hebrew|OWASP Top 10 Hebrew Project]] -- [https://www.owasp.org/images/c/cd/OWASP_Top_10_Heb.pdf OWASP Top 10 2010 - Hebrew PDF]. Lead by Or Katz, see translation page for list of contributors.

= OWASP Top 10 for 2013 =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

On June 12, 2013 the OWASP Top 10 for 2013 was officially released. This version was updated based on numerous comments received during the comment period after the release candidate was released in Feb. 2013.

* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013.pdf OWASP Top 10 2013 document (PDF)].
* [[Top_10_2013 | OWASP Top 10 2013 - Wiki.]]
* [https://www.owasp.org/images/6/6a/OWASP_TOP_10_2013_Arabic.pdf OWASP Top 10 2013 - Arabic (PDF)].
* [https://www.owasp.org/images/5/51/OWASP_Top_10_2013-Chinese-V1.2.pdf OWASP Top 10 2013 - Chinese (PDF)].
* [https://www.owasp.org/images/f/f3/OWASP_Top_10_-_2013_Final_-_Czech_V1.1.pdf OWASP Top 10 2013 - Czech (PDF)].
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013%20-%20French.pdf OWASP Top 10 2013 - French (PDF)].
* [[media:OWASP_Top_10_2013_DE_Version_1_0.pdf | OWASP Top 10 2013 - German (PDF)]]
* [[OWASP_Top10_Hebrew|OWASP Top 10 2013 - Hebrew]] [https://www.owasp.org/images/1/1b/OWASP_Top_10_2013-Hebrew.pdf (PDF)]
* [https://www.owasp.org/images/c/c9/OWASP_Top_10_-_2013_-_Italiano.pdf OWASP Top 10 2013 - Italian (PDF)]
* [https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf OWASP Top 10 2013 - Japanese (PDF)].
* [https://www.owasp.org/images/2/2c/OWASP_Top_10_-_2013_Final_-_Korean.pdf OWASP Top 10 2013 - Korea (PDF)].
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2013_Brazilian_Portuguese.pdf OWASP Top 10 2013 - Brazilian Portuguese (PDF)].
* [https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf OWASP Top 10 2013 - Spanish (PDF)]
* [https://www.owasp.org/images/e/e3/OWASP_Top_10_-_2013_Final_Ukrainian.pdf OWASP Top 10 2013 - Ukrainian (PDF)]
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top-10_2013%20-%20Presentation.pptx OWASP Top 10 2013 Presentation - Presenting Each Item in the Top 10 (PPTX)].

For 2013, the OWASP Top 10 Most Critical Web Application Security Risks are:

* [[Top_10_2013-A1-Injection | A1 Injection]]
* [[Top_10_2013-A2-Broken_Authentication_and_Session_Management | A2 Broken Authentication and Session Management]]
* [[Top_10_2013-A3-Cross-Site_Scripting_(XSS) | A3 Cross-Site Scripting (XSS)]]
* [[Top_10_2013-A4-Insecure_Direct_Object_References | A4 Insecure Direct Object References]]
* [[Top_10_2013-A5-Security_Misconfiguration | A5 Security Misconfiguration]]
* [[Top_10_2013-A6-Sensitive_Data_Exposure | A6 Sensitive Data Exposure]]
* [[Top_10_2013-A7-Missing_Function_Level_Access_Control | A7 Missing Function Level Access Control]]
* [[Top_10_2013-A8-Cross-Site_Request_Forgery_(CSRF) | A8 Cross-Site Request Forgery (CSRF)]]
* [[Top_10_2013-A9-Using_Components_with_Known_Vulnerabilities | A9 Using Components with Known Vulnerabilities]]
* [[Top_10_2013-A10-Unvalidated_Redirects_and_Forwards | A10 Unvalidated Redirects and Forwards]]

If you are interested, the methodology for how the Top 10 is produced is now documented here: [[Top_10_2013/ProjectMethodology | OWASP Top 10 Development Methodology]]

Please help us make sure every developer in the ENTIRE WORLD knows about the OWASP Top 10 by helping to spread the word!!!

As you help us spread the word, please emphasize:

*OWASP is reaching out to developers, not just the application security community
*The Top 10 is about managing risk, not just avoiding vulnerabilities
*To manage these risks, organizations need an application risk management program, not just awareness training, app testing, and remediation

We need to encourage organizations to get off the penetrate and patch mentality. As Jeff Williams said in his 2009 OWASP AppSec DC Keynote: “we’ll never hack our way secure – it’s going to take a culture change” for organizations to properly address application security.

== Introduction ==

The OWASP Top 10 is a powerful awareness document for web application security. It represents a broad consensus about the most critical security risks to web applications. Project members include a variety of security experts from around the world who have shared their expertise to produce this list. Versions of the 2007 and 2010 version were translated into English, French, Spanish, Japanese, Korean and Turkish and other languages. The 2013 version was translated into even more languages.

We urge all companies to adopt this awareness document within their organization and start the process of ensuring that their web applications minimize these risks. Adopting the OWASP Top 10 is perhaps the most effective first step towards changing the software development culture within your organization into one that produces secure code.

== Changes between 2010 and 2013 Editions ==

The OWASP Top 10 - 2013 includes the following changes as compared to the 2010 edition:

* A1 Injection
* A2 Broken Authentication and Session Management (was formerly 2010-A3)
* A3 Cross-Site Scripting (XSS) (was formerly 2010-A2)
* A4 Insecure Direct Object References
* A5 Security Misconfiguration (was formerly 2010-A6)
* A6 Sensitive Data Exposure (2010-A7 Insecure Cryptographic Storage and 2010-A9 Insufficient Transport Layer Protection were merged to form 2013-A6)
* A7 Missing Function Level Access Control (renamed/broadened from 2010-A8 Failure to Restrict URL Access)
* A8 Cross-Site Request Forgery (CSRF) (was formerly 2010-A5)
* A9 Using Components with Known Vulnerabilities (new but was part of 2010-A6 – Security Misconfiguration)
* A10 Unvalidated Redirects and Forwards

== Other 2013 Top 10 Docs ==

*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP Top 10 - 2013 - Release Candidate]
*[https://www.owasp.org/images/3/3d/OWASP_Top_10_-_2013_Final_Release_-_Change_Log.docx OWASP Top 10 - 2013 - Final Release - Change Log (docx)]
* [https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top-10_2013%20-%20Changes-from-2010.pptx Focusing on What Changed Since 2010 (PPTX)]

[[File:OWASP_Web_Top_10_for_2013.png]]

== Feedback ==

Please let us know how your organization is using the OWASP Top 10. Include your name, organization's name, and brief description of how you use the list. Thanks for supporting OWASP!

We hope you find the information in the OWASP Top 10 useful. Please contribute back to the project by sending your comments, questions, and suggestions to topten@lists.owasp.org. Thanks!

To join the OWASP Top 10 mailing list or view the archives, please visit the [http://lists.owasp.org/mailman/listinfo/owasp-topten subscription page.]

== Project Sponsors ==

The OWASP Top 10 project is sponsored by {{MemberLinks|link=https://www.aspectsecurity.com|logo=Aspect_logo_owasp.jpg}}



= OWASP Top 10 for 2010 =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

On April 19, 2010 the final version of the OWASP Top 10 for 2010 was released, and here is the associated [[OWASPTop10-2010-PressRelease|press release]]. This version was updated based on numerous comments received during the comment period after the release candidate was released in Nov. 2009.

*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010.pdf OWASP Top 10 - 2010 Document]
*[[Top 10 2010|OWASP Top 10 - 2010 - wiki]]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP_Top_10_-_2010%20Presentation.pptx OWASP Top 10 - 2010 Presentation]
*[http://blip.tv/owasp-appsec-conference-in-europe/day2_track1_1430-1505-3936900 OWASP Top 10 Video of the Presentation above - this focused alot on the Top 10 for 2010 approach, rather than the details. (From OWASP AppSec EU 2010)]
*[http://www.vimeo.com/9006276 OWASP Top 10 Video of this Presentation when the Top 10 for 2010 was 1st released for comment - this goes through each item in the Top 10. (From OWASP AppSec DC 2009)]

For 2010, the OWASP Top 10 Most Critical Web Application Security Risks are:

*[[Top_10_2010-A1|A1: Injection]]
*[[Top_10_2010-A2|A2: Cross-Site Scripting (XSS)]]
*[[Top_10_2010-A3|A3: Broken Authentication and Session Management]]
*[[Top_10_2010-A4|A4: Insecure Direct Object References]]
*[[Top_10_2010-A5|A5: Cross-Site Request Forgery (CSRF)]]
*[[Top_10_2010-A6|A6: Security Misconfiguration]]
*[[Top_10_2010-A7|A7: Insecure Cryptographic Storage]]
*[[Top_10_2010-A8|A8: Failure to Restrict URL Access]]
*[[Top_10_2010-A9|A9: Insufficient Transport Layer Protection]]
*[[Top_10_2010-A10|A10: Unvalidated Redirects and Forwards]]

== Introduction ==

The OWASP Top 10 is a powerful awareness document for web application security. It represents a broad consensus about the most critical security risks to web applications. Project members include a variety of security experts from around the world who have shared their expertise to produce this list. Versions of the 2007 were translated into English, French, Spanish, Japanese, Korean and Turkish and other languages and the 2010 version was translated into even more languages. See below for all the translated versions.

== 2010 Versions ==

2010 Edition:

*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010.pdf OWASP Top 10 2010 - PDF]
*[[Top 10 2010|OWASP Top 10 2010 - wiki]]

2010 Translations:

*[https://www.owasp.org/images/a/a9/OWASP_Top_10_2010_Chinese_V1.0_Released.pdf OWASP Top 10 2010 - Chinese PDF / 这里下载PDF格式文档]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20French.pdf OWASP Top 10 2010 - French PDF]
*[[media:OWASPTop10_2010_DE_Version_1_0.pdf | OWASP Top 10 2010 - German PDF]]
*[https://www.owasp.org/images/c/cd/OWASP_Top_10_Heb.pdf OWASP Top 10 2010 - Hebrew PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Indonesian.pdf OWASP Top 10 2010 - Indonesian PDF]
*[https://www.owasp.org/images/f/f9/OWASP_Top_10_-_2010_ITA.pdf OWASP Top 10 2010 - Italian PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Japanese-A4.pdf OWASP Top 10 2010 - Japanese PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Korean.pdf OWASP Top 10 2010 - Korean PDF]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASP%20Top%2010%20-%202010%20Spanish.pdf OWASP Top 10 2010 - Spanish PDF]
*[https://www.owasp.org/images/8/86/OWASP_Top_10_-_2010_FINAL_%28spanish%29.pptx OWASP Top 10 2010 - Spanish PPT]
*[https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/owasptop10/OWASPTop%2010%20-%202010%20Vietnamese.pdf OWASP Top 10 2010 - Vietnamese PDF]

2010 Release Candidate:

*[https://www.owasp.org/index.php/File:OWASP_T10_-_2010_rc1.pdf OWASP Top 10 2010 Release Candidate]
*[https://www.owasp.org/images/e/e1/OWASP_Top_10_RC-Public_Comments.docx OWASP Top 10 2010 Release Candidate Comments], except for one set of scanned comments [https://www.owasp.org/images/2/2e/OWASP_T10_-_2010_rc1_cmts_Kai_Jendrian.pdf which are here].

Previous versions:

*[https://www.owasp.org/images/e/e8/OWASP_Top_10_2007.pdf OWASP Top 10 2007 - PDF]
*[[Top 10 2007|OWASP Top 10 2007 - wiki]]
*[https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=Project_Details OWASP Top 10 2007 - PDF Translations are here]
*[[Top 10 2004|OWASP Top 10 2004 - wiki]]

= Project Details =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

{{:GPC_Project_Details/OWASP_Top10 | OWASP Project Identification Tab}}

= Some Commercial & OWASP Uses of the Top 10 =

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:OWASP_Project_Header.jpg|link=]]</div>

'''Warning''': these articles have not been rated for accuracy by OWASP. Product companies should be extremely careful about claiming to "cover" or "ensure compliance" with the OWASP Top 10. The current state-of-the-art for automated detection (scanners and static analysis) and prevention (WAF) is nowhere near sufficient to claim adequate coverage of the issues in the Top 10. Nevertheless, using the Top 10 as a simple way to communicate security to end users is effective.

;[https://blogs.microsoft.com/microsoftsecure/2008/05/01/sdl-and-the-owasp-top-ten/ Microsoft]
:as a way to measure the coverage of their SDL and improve security

;[https://www.pcisecuritystandards.org/index.shtml PCI Council]
:as part of the Payment Card Industry Data Security Standard (PCI DSS)

;[http://msdn.microsoft.com/en-us/library/dd129898.aspx Microsoft]
:to show how "T10 threats are handled by the security design and test procedures of Microsoft"

;[[OWASP_Top_10/Mapping_to_WHID | OWASP]]
:OWASP Top 10 Mapped to the Web Hacking Incident Database

;[[OWASP_Mobile_Security_Project#tab=Top_Ten_Mobile_Risks | OWASP]]
:OWASP Mobile Top 10 Risks

;[[OWASP_Top_Ten_Cheat_Sheet | OWASP]]
:OWASP Top 10 Cheat Sheet

__NOTOC__ <headertabs />

[[Category:OWASP_Project]] [[Category:OWASP_Document]] [[Category:OWASP_Download]] [[Category:OWASP_Release_Quality_Document]][[Category:Popular]][[Category:SAMM-EG-1]]

File:OWASP Top 10-2017-pt pt.pdf

2019-02-28T20:46:44Z

T.Gigler: Portuguese Version of the OWASP Top 10 2017 translated by Anabela Nogueira, Carlos Serrão, Guillaume Lopes, João Pinto, João Samouco, Kembolle A. Oliveira, Paulo A. Silva, Ricardo Mourato, Rui Silva, Sérgio Domingues, Tiago Reis, Vítor Magano.

Portuguese Version of the OWASP Top 10 2017 translated by Anabela Nogueira, Carlos Serrão, Guillaume Lopes, João Pinto, João Samouco, Kembolle A. Oliveira, Paulo A. Silva, Ricardo Mourato, Rui Silva, Sérgio Domingues, Tiago Reis, Vítor Magano.

Germany/Projekte/Top 10-2017 Nächste Schritte für Anwendungs-Verantwortliche

2019-02-24T23:19:30Z

T.Gigler: redaktionelle Änderung

{{Top_10_2013:TopTemplate
|useprev=2017PrevLink
|prev={{Top_10:LanguageFile|text=whatsNextforOrganizations|language=de}}
|usenext=2017NextLink
|next={{Top_10:LanguageFile|text=noteAboutRisks|language=de}}
|year=2017
|language=de
}}

{{Top_10:SubsectionTableBeginTemplate|type=main}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title=Regeln Sie den vollständigen Lebenszyklus von Anwendungen|year=2017|language=de}}
Anwendungen gehören zu den komplexesten Systemen, die Menschen regelmäßig erschaffen und betreiben. Das IT-Management von Anwendungen sollte von IT-Spezialisten erfolgen, die für den vollständigen Lebenszyklus einer Anwendung verantwortlich sind. Wir empfehlen, die Rolle des Anwendungs-Verantwortlichen (Application Manager) als technisches Pendant zum Anwendungs-Eigentümer (Application Owner) zu etablieren. Der Anwendungs-Verantwortliche ist für den gesamten Lebenszyklus der Anwendung bezüglich der IT-Belange zuständig, von der Erhebung der fachlichen Anforderungen bis hin zur Außerbetriebnahme der Systeme. Letzteres wird häufig übersehen.
<br/ style="font-size:5px">

{{Top_10:GradientBox|year=2017}}
Anforderungs- und Ressourcen-Management 
: Fachliche Anforderungen mit dem Fachbereich aufnehmen und vereinbaren, inkl. dem Schutzbedarf aller Daten-Assets in Bezug auf Vertraulichkeit, Authentizität, Integrität und Verfügbarkeit, sowie der erwarteten Anwendungslogik. Zusammenstellen der technischen Anforderungen inkl. funktionalen und nicht-funktionalen Anforderungen an die Sicherheit. *Planen und vereinbaren des Budgets, das alle Aspekte abdeckt, vom Design, Entwicklung, Testen bis hin zum Betrieb sowie die Sicherheitsmaßnahmen.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
Ausschreibung und Vergabe 
: Die Anforderungen mit internen oder externen Entwicklern vereinbaren, inkl. Richtlinien, Sicherheits-Vorgaben und -Prozesse, wie z.B. sicherer Softwareentwicklungsprozess (SDLC), Best Practices. Bewerten Sie den Erfüllungsgrad der technischen Anforderungen inkl. Planungs- und Design-Phase. Vereinbaren Sie alle technischen Anforderungen inkl. Design, Sicherheit und Service-Level-Agreements (SLAs). Nutzen Sie Vorlagen und Checklisten, z.B. den [[OWASP_Secure_Software_Contract_Annex|OWASP Secure Software Contract Annex]] ([[OWASP_Secure_Software_Contract_Annex_German|deutsch]]). Hinweis: Das Dokument ist ausschließlich als Orientierungshilfe anzusehen, es bezieht sich auf US-Recht. Konsultieren Sie in jedem Fall einen spezialisierten Anwalt, bevor Sie es benutzen.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
Planung und Design 
: Vereinbaren Sie die Planung und das Design der Anwendung mit den Entwicklern und internen Stakeholdern, z.B. Sicherheits-Spezialisten. Definieren Sie, unterstützt von Sicherheits-Spezialisten, die Sicherheits-Architektur, allgemeine vorbeugende Maßnahmen und gezielte Gegenmaßnahmen entsprechend dem Schutzbedarf und dem erwarteten Gefährdungsniveau. Stellen Sie sicher, dass der Anwendungseigentümer Restrisiken akzeptiert oder zusätzliches Budget bereitstellt. Stellen Sie sicher, dass es in jedem Sprint Sicherheits-Stories enthalten sind, die Auflagen für nicht-funktionale Anforderungen enthalten.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
Deployment, Testen und Rollout 
: Automatisieren Sie das Deployment von Anwendungen, Schnittstellen und allen benötigten Komponenten mit sicheren Konfigurationsvoreinstellungen, inkl. der benötigen Berechtigungen. Testen Sie die technischen Funktionen und die Integration in die IT-Architektur, koordinieren Sie fachliche Tests. Erzeugen Sie “Use-" und “Abuse-Testfälle” aus technischer und fachlicher Sicht. Koordinieren Sie Sicherheits-Tests gemäß den internen Prozessen, dem Schutzbedarf und dem angenommenen Gefährdungsniveau der Anwendung. Nehmen Sie die Anwendung in Betrieb und übernehmen Sie ggf. Daten aus Altanwendungen. Vervollständigen Sie die Dokumentation, inkl. in der Configuration Management Data Base (CMDB) und die Sicherheitsarchitektur.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
Betrieb und Change- Management 
: Das Betriebshandbuch muss Vorgaben für den sicheren Betrieb der Anwendung enthalten, z.B. Patchmanagement. Sensibilisieren Sie die Anwender für Sicherheitsaspekte und lösen Sie Konflikte zwischen Benutzbarkeit und Sicherheit. Planen und begleiten Sie Changes, z.B. Versionswechsel der Anwendung oder anderer Komponenten wie das Betriebssystem, Middleware und Bibliotheken. Aktualisieren Sie die vollständige Dokumentation, inkl. der CMDB, der Sicherheitsarchitektur, vorbeugende Maßnahmen, Gegenmaßnahmen und das Betriebshandbuch.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
Außerbetriebnahme von Anwendungen 
: Weiterhin benötigte Daten sollten archiviert werden, alle anderen Daten sollten sicher gelöscht werden. Nehmen Sie die Anwendung auf sichere Weise außer Betrieb, inkl. dem Löschen von nicht mehr benötigten Benutzerkonten, Rollen und Rechten. * Ändern Sie den Zustand der Anwendung in der CMDB auf "außer Betrieb".
{{Top 10:GrayBoxEnd|year=2017}}

{{Top_10_2013:BottomAdvancedTemplate
|type=box
|useprev=2017PrevLink
|prev={{Top_10:LanguageFile|text=whatsNextforOrganizations|language=de}}
|usenext=2017NextLink
|next={{Top_10:LanguageFile|text=noteAboutRisks|language=de}}
|year=2017
|language=de
}}

Germany/Projekte/Top 10-2017 A1-Injection

2019-02-24T23:05:00Z

T.Gigler: redaktionelle Änderung

{{Top_10_2013:TopTemplate
|useprev=2017PrevLink
|prev={{Top_10:LanguageFile|text=top10|year=2017|language=de}}
|usenext=2017NextLink
|next=A2-{{Top_10_2010:ByTheNumbers
|2
|year=2017
|language=de
}}
|year=2017
|language=de
}}

{{Top_10_2010:SummaryTableHeaderBeginTemplate|year=2017|language=de}}

{{Top_10-2017:SummaryTableTemplate|exploitability=3 |prevalence=2 |detectability=3 |impact=3 |year=2017|language=de}}
{{Top_10_2010:SummaryTableHeaderEndTemplate|year=2017}}
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

Beinahe jede Datenquelle kann einen Vektor für Injection darstellen: Umge-bungsvariablen, Parameter, externe und interne Webservices können von jedem Nutzer, unabhängig von seiner jeweiligen Rolle, ausgenutzt werden. [[Injection_Flaws|Injection flaws]] Injection-Schwachstellen treten dann auf, wenn ein Angreifer bösartige Daten an einen Interpreter zur Verarbeitung schicken kann. </td>
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

Injection Schwachstellen sind weit verbreitet, insbe-sondere in altem, ungewarteten Legacy-Code. Oft findet man sie in SQL-, NoSQL-, ORM-, LDAP- oder Xpath-Querys, ebenso bei Betriebssystem-Kommandos („OS Command Injection“), in XML- Parsern, SMTP-Headern und Expression Languages. Injection-Schwachstellen sind durch das Prüfen des Quellcodes leicht zu finden. Schwachstellen-Scanner und Fuzzer können Angreifer beim Auffinden von Injection-Schwachstellen unterstützen. </td>
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

Injection kann zu Datenverlust, -verfälschung, oder Offenlegung gegenüber unauthorisierten Dritten, Verlust der Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen. Die Auswirkungen auf das Unternehmen hängen vom Schutzbedarf der Anwendung und ihrer Daten ab. </td>
{{Top_10_2010:SummaryTableEndTemplate|year=2017}}

{{Top_10:SubsectionTableBeginTemplate|type=main}}
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=isTheApplicationVulnerable|position=firstLeft|year=2017|language=de}}
Eine Anwendung ist für diesen Angriff verwundbar, wenn:
* Daten, die vom Nutzer stammen, nicht ausreichend validiert, gefiltert oder durch geeignete Sanitizer-Funktionen laufen.
* Dynamische Anfragen oder nicht-parametrisierte Aufrufe ohne ein dem Kontext (SQL, LDAP, XML usw.) entsprechendes Escaping direkt einem Interpreter übergeben werden.
* Bösartige Daten innerhalb von ORM („Objekt Relationales Mapping“)-Suchparametern genutzt werden können, um vertrauliche Datensätze eines Dritten zu extrahieren.
* Bösartige Daten direkt oder als Teil zusammengesetzter dynamischer SQL-Querys, Befehle oder Stored Procedures genutzt werden können.
Injection ist u.a. bei der Verwendung von SQL, NoSQL, ORM-Frameworks, Betriebssystem-Kommandos, LDAP, Expression Language (EL) , Object Graph Navigation Language (OGNL) oder XML zu finden. Das Grundkonzept eines Injection-Angriffs ist für alle Interpreter gleich. Ein Quellcode Review ist eine sehr gute Methode, um Injection-Schwachstellen zu finden, dicht gefolgt vom gründlichen (ggf. automatisierten) Testen aller Parameter und Variablen wie z.B. Eingabe-Felder und Header-, URL-, Cookies-, JSON-, SOAP- und XML-Eingaben. Statische ([[Source_Code_Analysis_Tools|SAST]], Quellcode-Ebene) und dynamische ([[:Category:Vulnerability_Scanning_Tools|DAST]], laufende Anwendung) Test-Werkzeuge können von Organisationen für ihre CI/CD-Pipeline genutzt werden, um neue Schwachstellen noch vor einer möglichen Produktivnahme aufzuspüren.

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howToPrevent|position=right|year=2017|language=de}}
Um Injection zu verhindern, müssen Eingabedaten und Kommandos (bzw. Querys) konsequent getrennt bleiben.
* Die besten Methoden dafür sind entweder eine sichere API, die die direkte Interpreter-Nutzung vollständig vermeidet, bzw. die eine parametrisierte, typgebundene Schnittstelle anbietet oder die korrekte Verwendung eines ORM-Frameworks. Anmerkung: Stored Procedures können - auch parametrisiert - immer noch SQL-Injection ermöglichen, wenn PL/SQL oder T-SQL Anfragen und Eingabedaten konkateniert oder mit EXECUTE IMMEDIATE oder exec() ausgeführt werden.
* Für die serverseitige Eingabe-Validierung empfiehlt sich die Nutzung eines Positivlisten(“Whitelist”)-Ansatzes. Dies ist i.A. kein vollständiger Schutz, da viele Anwendungen Sonder- und Meta-Zeichen z.B. für Textfelder oder Mobile Apps benötigen.
* Für jede noch verbliebene dynamische Query müssen Sonder- und Meta-Zeichen für den jeweiligen Interpreter mit der richtigen Escape-Syntax entschärft werden. Anmerkung: Ein Escaping von SQL-Bezeichnern, wie z.B. die Namen von Tabellen oder Spalten usw. ist nicht möglich. Falls Nutzer solche Bezeichner selbst eingeben können, so ist dies durchaus gefährlich. Dies ist eine übliche Schwachstelle bei Software, die Reports aus einer Datenbank erstellt.
* Querys sollten LIMIT oder andere SQL-Controls verwenden, um den möglichen Massen-Abfluss von Daten zu verhindern.

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=exampleAttackScenarios|position=left|year=2017|language=de}}
Szenario 1: Eine Anwendung nutzt ungeprüfte Eingabedaten für den Zusammenbau der folgenden verwundbaren SQL-Abfrage: 
{{Top_10_2010:ExampleBeginTemplate|year=2017}}
String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";
{{Top_10_2010:ExampleEndTemplate}}

Szenario 2: Auch das blinde Vertrauen in Frameworks kann zu Querys führen, die ganz analog zu obigem Beispiel verwundbar sind (z.B. Hibernate Query Language (HQL)): 
{{Top_10_2010:ExampleBeginTemplate|year=2017}}
Query HQLQuery = session.createQuery("FROM accounts
WHERE custID='" + request.getParameter("id") + "'");'''
{{Top_10_2010:ExampleEndTemplate}}
In beiden Fällen kann ein Angreifer den ‘id’-Parameter in seinem Browser ändern und sendet: ' or '1'='1. Zum Beispiel so: 
{{Top_10_2010:ExampleBeginTemplate|year=2017}}<nowiki>
http://example.com/app/accountView?id=' or '1'='1
</nowiki>{{Top_10_2010:ExampleEndTemplate}}

Hierdurch wird die Logik der Anfrage verändert, so dass alle Datensätze der Tabelle „accounts“ ohne Einschränkung auf einen Kunden zurückgegeben werden. 
Gefährlichere Attacken wären z.B. das Ändern oder Löschen von Daten oder das Aufrufen von Stored Procedures.

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|year=2017|language=de}}
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate|year=2017|language=de}}
* [[OWASP_Proactive_Controls#2:_Parameterize_Queries|OWASP Proactive Controls: Parameterize Queries]]
* [[:Category:OWASP_Application_Security_Verification_Standard_Project|OWASP ASVS: V5 Input Validation and Encoding]]
* [[Testing_for_SQL_Injection_(OTG-INPVAL-005)|OWASP Testing Guide: SQL Injection]], [[Testing_for_Command_Injection_(OTG-INPVAL-013)|Command Injection]], [[Testing_for_ORM_Injection_(OTG-INPVAL-007)|ORM injection]]
* [[Injection_Prevention_Cheat_Sheet|OWASP Cheat Sheet: Injection Prevention]]
* [[SQL_Injection_Prevention_Cheat_Sheet|OWASP Cheat Sheet: SQL Injection Prevention]]
* [[Injection_Prevention_Cheat_Sheet_in_Java|OWASP Cheat Sheet: Injection Prevention in Java]]
* [[Query_Parameterization_Cheat_Sheet|OWASP Cheat Sheet: Query Parameterization]]
* [[OWASP_Automated_Threats_to_Web_Applications|OWASP Automated Threats to Web Applications – OAT-014]]

{{Top_10_2010:SubSubsectionExternalReferencesTemplate|year=2017|language=de}}
* [https://cwe.mitre.org/data/definitions/77.html CWE-77: Command Injection]
* [https://cwe.mitre.org/data/definitions/89.html CWE-89: SQL Injection]
* [https://cwe.mitre.org/data/definitions/564.html CWE-564: Hibernate Injection]
* [https://cwe.mitre.org/data/definitions/917.html CWE-917: Expression Language Injection]
* [https://portswigger.net/kb/issues/00101080_serversidetemplateinjection PortSwigger: Server-side template injection]

{{Top_10_2013:BottomAdvancedTemplate
|type=box
|useprev=2017PrevLink
|prev={{Top_10:LanguageFile|text=top10|year=2017|language=de}}
|usenext=2017NextLink
|next=A2-{{Top_10_2010:ByTheNumbers
|2
|year=2017
|language=de
}}
|year=2017
|language=de
}}

Germany/Projekte/Top 10-2017 A1-Injection

2019-02-24T22:59:54Z

T.Gigler: Created Page

{{Top_10_2013:TopTemplate
|useprev=2017PrevLink
|prev={{Top_10:LanguageFile|text=top10|year=2017|language=de}}
|usenext=2017NextLink
|next=A2-{{Top_10_2010:ByTheNumbers
|2
|year=2017
|language=de
}}
|year=2017
|language=de
}}

{{Top_10_2010:SummaryTableHeaderBeginTemplate|year=2017|language=de}}

{{Top_10-2017:SummaryTableTemplate|exploitability=3 |prevalence=2 |detectability=3 |impact=3 |year=2017|language=de}}
{{Top_10_2010:SummaryTableHeaderEndTemplate|year=2017}}
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

Beinahe jede Datenquelle kann einen Vektor für Injection darstellen: Umge-bungsvariablen, Parameter, externe und interne Webservices können von jedem Nutzer, unabhängig von seiner jeweiligen Rolle, ausgenutzt werden. [[Injection_Flaws|Injection flaws]] Injection-Schwachstellen treten dann auf, wenn ein Angreifer bösartige Daten an einen Interpreter zur Verarbeitung schicken kann. </td>
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

Injection Schwachstellen sind weit verbreitet, insbe-sondere in altem, ungewarteten Legacy-Code. Oft findet man sie in SQL-, NoSQL-, ORM-, LDAP- oder Xpath-Querys, ebenso bei Betriebssystem-Kommandos („OS Command Injection“), in XML- Parsern, SMTP-Headern und Expression Languages. Injection-Schwachstellen sind durch das Prüfen des Quellcodes leicht zu finden. Schwachstellen-Scanner und Fuzzer können Angreifer beim Auffinden von Injection-Schwachstellen unterstützen. </td>
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

Injection kann zu Datenverlust, -verfälschung, oder Offenlegung gegenüber unauthorisierten Dritten, Verlust der Zurechenbarkeit oder Zugangssperre führen. Unter Umständen kann es zu einer vollständigen Systemübernahme kommen. Die Auswirkungen auf das Unternehmen hängen vom Schutzbedarf der Anwendung und ihrer Daten ab. </td>
{{Top_10_2010:SummaryTableEndTemplate|year=2017}}>

{{Top_10:SubsectionTableBeginTemplate|type=main}}
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=isTheApplicationVulnerable|position=firstLeft|year=2017|language=de}}
Eine Anwendung ist für diesen Angriff verwundbar, wenn:
* Daten, die vom Nutzer stammen, nicht ausreichend validiert, gefiltert oder durch geeignete Sanitizer-Funktionen laufen.
* Dynamische Anfragen oder nicht-parametrisierte Aufrufe ohne ein dem Kontext (SQL, LDAP, XML usw.) entsprechendes Escaping direkt einem Interpreter übergeben werden.
* Bösartige Daten innerhalb von ORM („Objekt Relationales Mapping“)-Suchparametern genutzt werden können, um vertrauliche Datensätze eines Dritten zu extrahieren.
* Bösartige Daten direkt oder als Teil zusammengesetzter dynamischer SQL-Querys, Befehle oder Stored Procedures genutzt werden können.
Injection ist u.a. bei der Verwendung von SQL, NoSQL, ORM-Frameworks, Betriebssystem-Kommandos, LDAP, Expression Language (EL) , Object Graph Navigation Language (OGNL) oder XML zu finden. Das Grundkonzept eines Injection-Angriffs ist für alle Interpreter gleich. Ein Quellcode Review ist eine sehr gute Methode, um Injection-Schwachstellen zu finden, dicht gefolgt vom gründlichen (ggf. automatisierten) Testen aller Parameter und Variablen wie z.B. Eingabe-Felder und Header-, URL-, Cookies-, JSON-, SOAP- und XML-Eingaben. Statische ([[Source_Code_Analysis_Tools|SAST]], Quellcode-Ebene) und dynamische ([[:Category:Vulnerability_Scanning_Tools|DAST]], laufende Anwendung) Test-Werkzeuge können von Organisationen für ihre CI/CD-Pipeline genutzt werden, um neue Schwachstellen noch vor einer möglichen Produktivnahme aufzuspüren.

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howToPrevent|position=right|year=2017|language=de}}
Um Injection zu verhindern, müssen Eingabedaten und Kommandos (bzw. Querys) konsequent getrennt bleiben.
* Die besten Methoden dafür sind entweder eine sichere API, die die direkte Interpreter-Nutzung vollständig vermeidet, bzw. die eine parametrisierte, typgebundene Schnittstelle anbietet oder die korrekte Verwendung eines ORM-Frameworks. Anmerkung: Stored Procedures können - auch parametrisiert - immer noch SQL-Injection ermöglichen, wenn PL/SQL oder T-SQL Anfragen und Eingabedaten konkateniert oder mit EXECUTE IMMEDIATE oder exec() ausgeführt werden.
* Für die serverseitige Eingabe-Validierung empfiehlt sich die Nutzung eines Positivlisten(“Whitelist”)-Ansatzes. Dies ist i.A. kein vollständiger Schutz, da viele Anwendungen Sonder- und Meta-Zeichen z.B. für Textfelder oder Mobile Apps benötigen.
* Für jede noch verbliebene dynamische Query müssen Sonder- und Meta-Zeichen für den jeweiligen Interpreter mit der richtigen Escape-Syntax entschärft werden. Anmerkung: Ein Escaping von SQL-Bezeichnern, wie z.B. die Namen von Tabellen oder Spalten usw. ist nicht möglich. Falls Nutzer solche Bezeichner selbst eingeben können, so ist dies durchaus gefährlich. Dies ist eine übliche Schwachstelle bei Software, die Reports aus einer Datenbank erstellt.
* Querys sollten LIMIT oder andere SQL-Controls verwenden, um den möglichen Massen-Abfluss von Daten zu verhindern.

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=exampleAttackScenarios|position=left|year=2017|language=de}}
Szenario 1: Eine Anwendung nutzt ungeprüfte Eingabedaten für den Zusammenbau der folgenden verwundbaren SQL-Abfrage: 
{{Top_10_2010:ExampleBeginTemplate|year=2017}}
String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";
{{Top_10_2010:ExampleEndTemplate}}

Szenario 2: Auch das blinde Vertrauen in Frameworks kann zu Querys führen, die ganz analog zu obigem Beispiel verwundbar sind (z.B. Hibernate Query Language (HQL)): 
{{Top_10_2010:ExampleBeginTemplate|year=2017}}
Query HQLQuery = session.createQuery("FROM accounts
WHERE custID='" + request.getParameter("id") + "'");'''
{{Top_10_2010:ExampleEndTemplate}}
In beiden Fällen kann ein Angreifer den ‘id’-Parameter in seinem Browser ändern und sendet: ' or '1'='1. Zum Beispiel so: 
{{Top_10_2010:ExampleBeginTemplate|year=2017}}<nowiki>
http://example.com/app/accountView?id=' or '1'='1
</nowiki>{{Top_10_2010:ExampleEndTemplate}}

Hierdurch wird die Logik der Anfrage verändert, so dass alle Datensätze der Tabelle „accounts“ ohne Einschränkung auf einen Kunden zurückgegeben werden. 
Gefährlichere Attacken wären z.B. das Ändern oder Löschen von Daten oder das Aufrufen von Stored Procedures.

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|year=2017|language=de}}
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate|year=2017|language=de}}
* [[OWASP_Proactive_Controls#2:_Parameterize_Queries|OWASP Proactive Controls: Parameterize Queries]]
* [[:Category:OWASP_Application_Security_Verification_Standard_Project|OWASP ASVS: V5 Input Validation and Encoding]]
* [[Testing_for_SQL_Injection_(OTG-INPVAL-005)|OWASP Testing Guide: SQL Injection]], [[Testing_for_Command_Injection_(OTG-INPVAL-013)|Command Injection]], [[Testing_for_ORM_Injection_(OTG-INPVAL-007)|ORM injection]]
* [[Injection_Prevention_Cheat_Sheet|OWASP Cheat Sheet: Injection Prevention]]
* [[SQL_Injection_Prevention_Cheat_Sheet|OWASP Cheat Sheet: SQL Injection Prevention]]
* [[Injection_Prevention_Cheat_Sheet_in_Java|OWASP Cheat Sheet: Injection Prevention in Java]]
* [[Query_Parameterization_Cheat_Sheet|OWASP Cheat Sheet: Query Parameterization]]
* [[OWASP_Automated_Threats_to_Web_Applications|OWASP Automated Threats to Web Applications – OAT-014]]

{{Top_10_2010:SubSubsectionExternalReferencesTemplate|year=2017|language=de}}
* [https://cwe.mitre.org/data/definitions/77.html CWE-77: Command Injection]
* [https://cwe.mitre.org/data/definitions/89.html CWE-89: SQL Injection]
* [https://cwe.mitre.org/data/definitions/564.html CWE-564: Hibernate Injection]
* [https://cwe.mitre.org/data/definitions/917.html CWE-917: Expression Language Injection]
* [https://portswigger.net/kb/issues/00101080_serversidetemplateinjection PortSwigger: Server-side template injection]

{{Top_10_2013:BottomAdvancedTemplate
|type=box
|useprev=2017PrevLink
|prev={{Top_10:LanguageFile|text=top10|year=2017|language=de}}
|usenext=2017NextLink
|next=A2-{{Top_10_2010:ByTheNumbers
|2
|year=2017
|language=de
}}
|year=2017
|language=de
}}

Template:Top 10:LanguageFile

2019-02-24T22:43:45Z

T.Gigler: Added: German: isTheApplicationVulnerable, howToPrevent

==='''Usage:''' ===
This File contains all the text that is used by OWASP Top 10 Templates 
Please leave a message to {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org | username = T.Gigler}}
if you liked to add a new localization 

If you use an undefined language you will get English output (default language). 
 
<nowiki>{{Top_10:LanguageFile</nowiki> 
:<nowiki> |text=<parameter> </nowiki> 
:<nowiki> |language=<your language> </nowiki> 
:<nowiki> |year=<year> </nowiki> 
<nowiki>}}</nowiki> 
====Example:====
<nowiki>{{Top_10:LanguageFile|text=tableOfContents|language=de}} =></nowiki> {{Top_10:LanguageFile|text=tableOfContents|language=de}}
----
==='''Healthcheck'''===
tbd. 
In the meantime, please check:
* [[Top_10_2013-Table_of_Contents | English Top 10 Wiki]]
* [[Germany/Projekte/Top_10-2013-Inhaltsverzeichnis | German Top 10 Wiki]]
----
If you use an unknown parameter you will get the following Error message in your wiki page: 

<onlyinclude>{{#switch: {{{language}}}
| de = 
{{#switch: {{{text}}} <noinclude>
 </noinclude>
| documentRootTop10New = Germany/Projekte/Top 10-{{{year}}}
| documentRootTop10NewDeveloperEdition = Germany/Projekte/Top 10 fuer Entwickler-{{{year}}}
| documentRootTop10 = Germany/Projekte/Top 10-{{{year}}}
| documentRootTop10DeveloperEdition = Germany/Projekte/Top 10 fuer Entwickler-{{{year}}}<noinclude>

 </noinclude>
| top10TmpMessage =
{{#switch: {{{year}}}
| 2017 = ==BAUSTELLE! Hier entsteht das deutsche Wiki der OWASP Top 10-2017== ==Bitte benutzen Sie die [[Germany/Projekte/Top_10 | PDF Version]].==<noinclude></noinclude>
| 2013 <noinclude>= ==The Top 10-2013 Wiki is under Construction. The Content is Not Finished yet==</noinclude>
| #default = NOTE: THIS IS NOT THE LATEST VERSION. Please visit the [[:Category:OWASP_Top_Ten_Project|OWASP Top 10 project page]] to find the latest edition.
}}
| top10TmpMessageDeveloperEdition = ==BAUSTELLE! Hier entsteht das deutsche Wiki der OWASP Top 10 fuer Entwickler-2013==
| centerLink1 =
{{#switch: {{{year}}}
| 2013 = [[Germany/Projekte/Top 10-{{{year}}}-Inhaltsverzeichnis|{{{year}}} Inhaltsverzeichnis]]
| #default = [[Germany/Projekte/Top 10-{{{year}}} Inhaltsverzeichnis|{{{year}}} Inhaltsverzeichnis]]
}}
| centerLink2 =
{{#switch: {{{year}}}
| 2013 = [[Germany/Projekte/Top 10-2013-Top 10|2013 Die Top-10-Risiken]]
| 2017 = [[Germany/Projekte/Top_10| PDF version]]
| #default = [[Germany/Projekte/[Top_10_{{{year}}}-Top 10|{{{year}}} Die Top-10-Risiken]]
}}
| centerLink1DeveloperEdition = [[Germany/Projekte/Top 10 fuer Entwickler-2013/Inhaltsverzeichnis|Top 10 fuer Entwickler-2013: Inhaltsverzeichnis]]
| centerLink2DeveloperEdition = [[Germany/Projekte/Top 10 fuer Entwickler-2013/Top 10|Die Top-10-Risiken]]
| projectCategory = [[Category: Germany/Projekte/Top 10-{{{year}}}]]
| projectCategoryDeveloperEdition = [[Category:OWASP Top 10 fuer Entwickler]] [[Category: Germany/Projekte/Top 10 fuer Entwickler-2013]]<noinclude>

 </noinclude>
| tableOfContents = Inhaltsverzeichnis
| foreword = Vorwort
| forewordTranslation =
{{#switch: {{{year}}}
| 2013 = Vorwort der deutschen Übersetzung
| #default = Vorwort der deutschen Version
}}
| forward = Vorwort 
| forwardTranslation = Vorwort der deutschen Übersetzung 
| aboutOWASP = Über OWASP
| copyrightAndLicense Copyright und Lizenz
| introduction = Einleitung
| releaseNotes = Neuerungen
| risks = Risiken
| risk = Risiko
| subTitleApplicationRisks = (Sicherheitsrisiken für Anwendungen)
| riskLarge = RISIKO
| applicationSecurityRisks =
{{#switch: {{{year}}}
| 2013 = Was sind Sicherheitsrisiken für Anwendungen?
| #default = Sicherheitsrisiken für Anwendungen
}}
| theTop10 =
{{#switch: {{{year}}}
| 2013 = Die Top-10-Risiken
| #default = OWASP Top 10 Risiken für die Anwendungssicherheit
}}
| top10 = Top 10
| whatsNextforDevelopers = Nächste Schritte für Software-Entwickler
| whatsNextforVerifiers = Nächste Schritte für Prüfer
| whatsNextforSecurityTesters = Nächste Schritte für Sicherheitstester
| whatsNextforOrganizations = Nächste Schritte für Organisationen
| whatsNextforApplicationManagers=Nächste Schritte für Anwendungs-Verantwortliche
| noteAboutRisks = Anmerkungen zum Risikobegriff
| detailsAboutRiskFactors =
{{#switch: {{{year}}}
| 2013 = Details zu Risiko-Faktoren
| #default = Details zu den Risiko-Faktoren
}}
| methodologyAndData = Methodik und Daten
| appendix = Anlage
| warnings = Zur Beachtung
| acknowledgements = Danksagung
| attribution = Namensnennung/Danksagung
| whatChangedFrom2010to2013 = Was hat sich von Version 2010 zu 2013 verändert?
| welcome = Herzlich Willkommen
| whatAreApplicationSecurityRisks = Was sind Sicherheitsrisiken für Anwendungen?
| whatsMyRisk = Was sind meine Risiken?
| references = Referenzen
| establishAndUseAFullSetOfCommonSecurityControls = Etablierung und Nutzung umfassender Sicherheitsmaßnahmen
| startYourApplicationSecurityProgramNow = Starten Sie jetzt mit Ihrem Anwendungssicherheits-Programm!
| getOrganized = Organisation und Prozesse
| codeReview = Code-Analyse
| securityAndPenetrationTesting = Sicherheits- und Penetrationstests
| itsAboutRisksNotWeaknesses = Es geht nicht um Schwachstellen, sondern um Risiken
| top10RiskFactorSummary = Zusammenfassung der Top 10 Risiko-Faktoren
| additionalRisksToConsider = Weitere zu betrachtende Risiken <noinclude>

 </noinclude>
| injection = Injection
| brokenAuthSessionMgmt = Fehler in Authentifizierung und Session-Management
| brokenAuth = Fehler in der Authentifizierung
| authentication = Authentifizierung 
| xxe = XML External Entities (XXE)
| brokenAccessControl = Fehler in der Zugriffskontrolle
| xss = Cross-Site Scripting (XSS)
| xssShort = XSS
| insecureDeserialization = Unsichere Deserialisierung
| insecureDirectObjectReference = Unsichere direkte Objektreferenzen
| insecureDOR = Unsichere direkte Objektreferenzen
| securityMisconfig = Sicherheitsrelevante Fehlkonfiguration
| misconfig = Fehlkonfiguration
| sensitiveDataExposure = Verlust der Vertraulichkeit sensibler Daten<noinclude>ex: Sensitive Data Exposure</noinclude>
| sensData = Sens. Data<noinclude>(tbd)</noinclude>
| missingFunctionLevelACL = Fehlerhafte Autorisierung auf Anwendungsebene <noinclude>(tbd = Missing Function Level Access Control)</noinclude>
| functionAcc = Fehlerh. Autorisierung<noinclude>(tbd = Kurzform für Missing Function Level Access Control)</noinclude>
| csrf = Cross-Site Request Forgery (CSRF)
| csrfShort = CSRF
| usingVulnerableComponents =
{{#switch: {{{year}}}
| 2013 = Benutzen von Komponenten mit bekannten Schwachstellen <noinclude>(tbd = Using Components with Known Vulnerabilities)</noinclude>
| #default = Nutzung von Komponenten mit bekannten Schwachstellen
}}
| vulnComponents = Komponenten mit Schwachstellen <noinclude>(tbd = vuln. Components)</noinclude>
| insufficientLoggingMonitoring = Unzureichendes Logging&Monitoring
| unvalidatedRedirectsForwards = Ungeprüfte Um- und Weiterleitungen
| unvalRedirects = Ungepr. Weiterltg.
| insecureCryptographicStorage = Kryptografisch unsichere Speicherung
| failureRestrictUrlAccess = Mangelhafter URL-Zugriffsschutz
| insufficientTLProtection = Unzureichende Absicherung der Transportschicht
| inProgress = In Arbeit <noinclude>

 </noinclude>
| applicationSpecific = Anwendungs- spezifisch
| appSpecific = Anw.- spezifisch
| dataBusinessSpecific = Daten- & Geschäftsspez.
| businessQuestionmark = Daten- & Geschäftsspez 
| applicationBusinessSpecific = Anwendungs-/ Geschäftsspezifisch
| appBusinessSpecific = Anw.-/ Geschäftsspez.
| exploitability = Ausnutzbarkeit
| easy = EINFACH
| average = DURCHSCHNITTLICH
| difficult = SCHWIERIG
| weakness =  
| prevalence = Verbreitung
| veryWidespread = AUSSERGEWÖHNLICH HÄUFIG
| widespread = SEHR HÄUFIG
| common = HÄUFIG
| uncommon = SELTEN
| detectability = Auffindbarkeit
| impact = Auswirkung
| impacts = Auswirkungen
| severe = SCHWERWIEGEND
| moderate = MITTEL
| minor = GERING
| score = Wert <noinclude>

 </noinclude>
| threatAgents = Bedrohungsquellen
| attackVectors = Angriffsvektoren
| securityWeakness = Schwachstellen
| technicalImpacts = Technische Auswirkung
| technical = technisch
| business = Geschäftl.
| businessImpacts = Auswirkung auf das Unternehmen
| threatAgentsImage = Image:Top 10 de threatAgents.png
| attackVectorsImage = Image:Top 10 de attackVectors.png
| securityWeaknessImage= Image:Top 10 de securityWeakness.png
| impactsImage 
| technicalImpactsImage = Image:Top 10 de technicalImpacts.png
| businessImpactsImage = Image:Top 10 de businessImpacts.png <noinclude>

 </noinclude>
| applicationSecurityRisksImage = Image:Top 10 de ApplicationSecurityRisks.png <noinclude>

 </noinclude>
| isTheApplicationVulnerable = Ist die Anwendung verwundbar?
| vulnerableTo = Bin ich durch {{Top_10_2010:ByTheNumbers|{{{risk}}}|year={{{year}}}|language={{{language}}} }} verwundbar?
| vulnerableTo1 = Bin ich durch
| vulnerableTo2 =  verwundbar?
| howToPrevent = Wie kann ich das verhindern?
| howPrevent = Wie kann ich {{Top_10_2010:ByTheNumbers|{{{risk}}}|year={{{year}}}|language={{{language}}} }} verhindern?
| howPrevent1 = Wie kann ich
| howPrevent2 =  verhindern?
| exampleScenarios = Mögliche Angriffsszenarien
| defendingOption = Verteidigungs-Option
| against = gegen
| userImpact = Auswirkung(en) auf den Benutzer <noinclude>

 </noinclude>
| external = Andere <noinclude>
 </noinclude>
| myUnused = FEHLER im 'Language File' (Aufruf des unbenutzten Objekts)
| #default = FEHLER im '[[:Template:Top_10:LanguageFile|Language File]]' (Aufruf des unbekannten Objekts '{{{text}}}')
}} 
<noinclude>




</noinclude> | #default = 
{{#switch: {{{text}}} <noinclude>
 </noinclude>
| documentRootTop10New = Top 10-{{{year}}}
| documentRootTop10NewDeveloperEdition = Top 10-{{{year}}} Developer Edition
| documentRootTop10 = Top 10 {{{year}}}
| documentRootTop10DeveloperEdition = Top 10 {{{year}}} Developer Edition<noinclude>

 </noinclude>
| top10TmpMessage =
{{#switch: {{{year}}}
| 2017 = <noinclude>==The OWASP Top 10-2017 have been released. This wiki page will be updated, soon.== ==Please use the [[Media:OWASP_Top_10-2017_(en).pdf.pdf| PDF version of the OWASP Top 10 - 2017]] for now.== More information available [[:Category:OWASP_Top_Ten_Project|here]].</noinclude>
| 2013 <noinclude>= ==The Top 10-2013 Wiki is under Construction. The Content is Not Finished yet==</noinclude>
| #default = NOTE: THIS IS NOT THE LATEST VERSION. Please visit the [[:Category:OWASP_Top_Ten_Project|OWASP Top 10 project page]] to find the latest edition.
}}
| top10TmpMessageDeveloperEdition = ==The Top 10-2013 Developer Edition Wiki is under Connstruction. The Content is Not Finished yet==
| centerLink1 =
{{#switch: {{{year}}}
| 2017 = [[:Category:OWASP Top Ten {{{year}}} Project | {{{year}}} Table of Contents]]
| #default = [[Top 10 {{{year}}}-Table of Contents | {{{year}}} Table of Contents]]
}}
| centerLink2 =
{{#switch: {{{year}}}
| 2017 = [[Media:OWASP_Top_10-2017_(en).pdf.pdf| PDF version]] <noinclude>
</noinclude>
| #default = [[Top_10_{{{year}}}-Top 10|{{{year}}} Top 10 List]]
}}
| centerLink1DeveloperEdition = [[Top 10 {{{year}}} Developer Edition-Table of Contents|{{{year}}} Developer Edition-Table of Contents]]
| centerLink2DeveloperEdition = [[Top 10 {{{year}}} Developer Edition-Top 10 List|{{{year}}} Developer Edition-Top 10 List]]
| projectCategory = [[Category:OWASP Top Ten Project]] [[Category:OWASP Top Ten {{{year}}} Project]]
| projectCategoryDeveloperEdition = [[Category:OWASP Top Ten {{{year}}} Developer Edition]]<noinclude>
 </noinclude>
| tableOfContents = Table of Contents
| foreword = Foreword
| forewordTranslation = Foreword of the English Wiki
| forward = Forward 
| forwardTranslation = Forward of the English Wiki 
| aboutOWASP = About OWASP
| copyrightAndLicense Copyright and License
| introduction = Introduction
| releaseNotes = Release Notes
| risks = Risks
| risk = Risk
| subTitleApplicationRisks = (Application Security Risks)
| riskLarge = RISIK
| applicationSecurityRisks = Application Security Risks
| theTop10 = The Top 10
| top10 = Top 10
| whatsNextforDevelopers = What's Next for Developers
| whatsNextforVerifiers = What's Next for Verifiers
| whatsNextforSecurityTesting = What's Next for Security Testing
| whatsNextforSecurityTesters = What's Next for Security Testers
| whatsNextforOrganizations = What's Next for Organizations
| whatsNextforApplicationManagers = What's Next for Application Managers
| noteAboutRisks = Note About Risks
| OWASPTop10ApplicationSecurityRisks = OWASP Top 10 Application Security Risks
| detailsAboutRiskFactors = Details About Risk Factors
| methodologyAndData = Methodology and Data
| appendix = appendix
| warnings = Warnings
| acknowledgements = Acknowledgements
| attribution = Attribution
| whatChangedFrom2010to2013 = What Changed From 2010 to 2013?
| welcome = Welcome
| whatAreApplicationSecurityRisks = What Are Application Security Risks?
| whatsMyRisk = What's My Risk?
| references = References
| establishAndUseAFullSetOfCommonSecurityControls = Establish & Use Repeatable Security Processes and Standard Security Controls
| startYourApplicationSecurityProgramNow = Start Your Application Security Program Now
| establishContinuousApplicationSecurityTesting = Establish Continuous Application Security Testing
| getOrganized = Get Organized
| codeReview = Code Review
| securityAndPenetrationTesting = Security and Penetration Testing
| itsAboutRisksNotWeaknesses = It's About Risks, Not Weaknesses
| top10RiskFactorSummary = Top 10 Risk Factor Summary
| rank = Rank
| surveyVulnerabilityCategories = Survey Vulnerability Categories
| additionalRisksToConsider = Additional Risks to Consider <noinclude>

 </noinclude>
| injection = Injection
| brokenAuth = Broken Authentication
| brokenAuthSessionMgmt = Broken Authentication and Session Management
| authentication = Authentication 
| xss = Cross-Site Scripting (XSS)
| xssShort = XSS
| xxe = XML External Entities (XXE)
| insecureDirectObjectReference = Insecure Direct Object References
| insecureDOR = Insecure DOR
| securityMisconfig = Security Misconfiguration
| misconfig = Misconfig
| sensitiveDataExposure = Sensitive Data Exposure
| sensData = Sens. Data
| insecureDeserialization = Insecure Deserialization
| missingFunctionLevelACL = Missing Function Level Access Control
| functionAcc = Function Acc.
| csrf = Cross-Site Request Forgery (CSRF)
| csrfShort = CSRF
| usingVulnerableComponents = Using Components with Known Vulnerabilities
| vulnComponents = Vulnerable Components
| unvalidatedRedirectsForwards = Unvalidated Redirects and Forwards
| unvalRedirects = unval. Redirects
| insecureCryptographicStorage = Insecure Cryptographic Storage
| failureRestrictUrlAccess = Failure to Restrict URL Access
| insufficientTLProtection = Insufficient Transport Layer Protection
| brokenAccessControl = Broken Access Control
| insufficientLoggingMonitoring = Insufficient Logging&Monitoring
| insufficientAttackPrevention = Insufficient Attack Protection
| underprotectedAPIs = Underprotected APIs
| accessCtrl = Access Ctrl
| attackProt = Attack Prot.
| ApiProt = API Prot.
| inProgress = In Progress <noinclude>

 </noinclude>
| applicationSpecific = Application Specific
| appSpecific = App Specific
| applicationBusinessSpecific = Application / Business Specific
| appBusinessSpecific = App / Business Specific
| businessQuestionmark = Business ?
| exploitability = Exploitability
| easy = EASY
| average = AVERAGE
| difficult = DIFFICULT
| weakness = Weakness 
| prevalence = Prevalence
| veryWidespread = VERY WIDESPREAD
| widespread = WIDESPREAD
| common = COMMON
| uncommon = UNCOMMON
| detectability = Detectability
| impact = Impact
| impacts = Impacts
| severe = SEVERE
| moderate = MODERATE
| minor = MINOR <noinclude>

 </noinclude>
| threatAgents = Threat Agents
| attackVectors = Attack Vectors
| securityWeakness = Security Weakness
| technicalImpacts = Technical Impacts
| technical = Technical
| businessImpacts = Business Impacts
| business = Business
| score = Score
| threatAgentsImage = Image:Top 10 threatAgents.png
| attackVectorsImage = Image:Top 10 attackVectors.png
| securityWeaknessImage= Image:Top 10 securityWeakness.png
| impactsImage 
| technicalImpactsImage = Image:Top 10 technicalImpacts.png
| businessImpactsImage = Image:Top 10 businessImpacts.png <noinclude>

 </noinclude>
| applicationSecurityRisksImage = Image:Top_10_2013-appsec-risks.png <noinclude>

 </noinclude>
| isTheApplicationVulnerable = Is the Application Vulnerable?
| vulnerableTo = Am I Vulnerable To {{Top_10_2010:ByTheNumbers|{{{risk}}}|year={{{year}}}|language={{{language}}} }}?
| vulnerableTo1 = Am I Vulnerable To
| vulnerableTo2 = ?
| howToPrevent = How to Prevent
| howPrevent = How Do I Prevent {{Top_10_2010:ByTheNumbers|{{{risk}}}|year={{{year}}}|language={{{language}}} }}?
| howPrevent1 = How Do I Prevent
| howPrevent2 = ?
| exampleScenarios = Example Attack Scenarios
| defendingOption = Defending Option
| against = against
| userImpact = Impact to the User <noinclude>

 </noinclude>
| external = External <noinclude>
 </noinclude>
| myUnused = ERROR in the 'Language File' (Use of the unused Object)
| #default = ERROR in the '[[:Template:Top_10:LanguageFile|Language File]]' (Use of unknown Object '{{{text}}}')
}} 
}}</onlyinclude>

OWASP German Chapter Stammtisch Initiative/München

2019-02-24T22:07:19Z

T.Gigler: redaktionelle Änderung

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (97.) Münchner OWASP-Stammtisch am Di, 19.03.2019, um 19:00 Uhr. 
* Agenda:

:* Vortrag

:* Freie Diskussion, bringt bitte Themen mit!

* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* April 2019: 30.04.2019 (5. Di)

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://lists.owasp.org/mailman/listinfo/owasp-germany Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Februar 2019: [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2019-02-24T22:05:51Z

T.Gigler: Einladung zum (97.) Münchner OWASP-Stammtisch am Di, 19.03.2019, um 19:00 Uhr; Folien: 'Talk: OWASP Top 10-2017: Neuerungen & Hintergründe' (Torsten Gigler)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (97.) Münchner OWASP-Stammtisch am Di, 19.03.2019, um 19:00 Uhr. 
* Agenda:

:* Vortrag

:* Freie Diskussion, bringt bitte Themen mit!

* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* April 2019: 30.04.2019 (5. Di)

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://lists.owasp.org/mailman/listinfo/owasp-germany Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Februar 2019 [[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]] (Torsten Gigler)
* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

File:OWASP Top10 2017 Neuerungen+Hintergruende - Torsten Gigler.pdf

2019-02-24T21:49:49Z

T.Gigler: Talk: OWASP Top 10-2017: Neuerungen & Hintergründe (Torsten Gigler) Aus Anlass der Veröffentlichung der deutschen Version der OWASP Top 10-2017 wollen wir über die Neuerungen der OWASP Top 10-2017 und deren Hintergründe diskutieren.

Talk: OWASP Top 10-2017: Neuerungen & Hintergründe (Torsten Gigler) Aus Anlass der Veröffentlichung der deutschen Version der OWASP Top 10-2017 wollen wir über die Neuerungen der OWASP Top 10-2017 und deren Hintergründe diskutieren.

OWASP German Chapter Stammtisch Initiative/München

2019-02-18T14:47:50Z

T.Gigler: Talk added

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (96.) Münchner OWASP-Stammtisch am Di, 19.02.2019, um 19:00 Uhr. 
* Agenda:

:*Talk: OWASP Top 10-2017: Neuerungen & Hintergründe (Torsten Gigler) Aus Anlass der Veröffentlichung der deutschen Version der OWASP Top 10-2017 wollen wir über die Neuerungen der OWASP Top 10-2017 und deren Hintergründe diskutieren.
:* Freie Diskussion, bringt bitte Themen mit!

* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* März 2019: 19.03.2019 (3. Di)
* April 2019: 30.04.2019 (5. Di)

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://lists.owasp.org/mailman/listinfo/owasp-germany Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2019-02-02T20:41:39Z

T.Gigler: Link

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (96.) Münchner OWASP-Stammtisch am Di, 19.02.2019, um 19:00 Uhr. 
* Agenda:
:* Wir suchen noch einen Vortrag für unseren nächsten Stammtisch!

:* Freie Diskussion, bringt bitte Themen mit!

* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* März 2019: 19.03.2019 (3. Di)
* April 2019: 30.04.2019 (5. Di)

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://lists.owasp.org/mailman/listinfo/owasp-germany Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Januar 2019: [[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

OWASP German Chapter Stammtisch Initiative/München

2019-02-02T20:40:37Z

T.Gigler: Einladung zum (96.) Münchner OWASP-Stammtisch am Di, 19.02.2019, um 19:00 Uhr; Folien: Nachlese zum German OWASP Day 2018 in Münster (Thomas Herzog und Torsten Gigler)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (96.) Münchner OWASP-Stammtisch am Di, 19.02.2019, um 19:00 Uhr. 
* Agenda:
:* Wir suchen noch einen Vortrag für unseren nächsten Stammtisch!

:* Freie Diskussion, bringt bitte Themen mit!

* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* März 2019: 19.03.2019 (3. Di)
* April 2019: 30.04.2019 (5. Di)

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://lists.owasp.org/mailman/listinfo/owasp-germany Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* Januar 2019: Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]] (Thomas Herzog und Torsten Gigler)
* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]

File:German OWASP Day 2018-Nachlese - Thomas Herzog+Torsten Gigler.pdf

2019-02-02T20:32:51Z

T.Gigler: Vortrag: Nachlese zum German OWASP Day 2018 in Münster (Thomas Herzog und Torsten Gigler) Für alle, die nicht beim letzten German OWASP Day in Münster dabei waren, gibt es einen Überblick über die dort gehaltenen Vorträge und Talks.

Vortrag: Nachlese zum German OWASP Day 2018 in Münster (Thomas Herzog und Torsten Gigler) Für alle, die nicht beim letzten German OWASP Day in Münster dabei waren, gibt es einen Überblick über die dort gehaltenen Vorträge und Talks.

OWASP German Chapter Stammtisch Initiative/München

2019-01-17T22:16:14Z

T.Gigler: Einladung zum (95.) Münchner OWASP-Stammtisch am Di, 22.01.2019, um 19:00 Uhr: Vortrag: Nachlese zum German OWASP Day 2018 in Münster (Thomas Herzog und Torsten Gigler)

__NOTOC__
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

== '''A K T U E L L E S :''' ==

Einladung zum (95.) Münchner OWASP-Stammtisch am Di, 22.01.2019, um 19:00 Uhr. Dieses Mal am 4. Dienstag
* Agenda:

:*Vortrag: Nachlese zum German OWASP Day 2018 in Münster (Thomas Herzog und Torsten Gigler) Für alle, die nicht beim letzten German OWASP Day in Münster dabei waren, gibt es einen Überblick über die dort gehaltenen Vorträge und Talks. Wer dort war, kann gerne seine Eindrücke ergänzen.
:* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für unsere weiteren Stammtische in 2019!
* font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus], Sendlinger Straße 14, 80331 München
:* Mit [http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]:
::* ab Marienplatz [U3/U6, S-Bahn]: Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
::* ab Sendlinger Tor [U1/U2/U3/U6]: Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
* Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
* Um vorhergehende Anmeldung per Mail bei {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
* '''Spread the word''' Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß, Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

== Geplante Stammtisch-Vorträge und -Diskussionen==

* Februar 2019: 19.02.2019 (3. Di)
* März 2019: 19.03.2019 (3. Di)
* April 2019: 30.04.2019 (5. Di)

* Wir suchen Vorträge für die weiteren Stammtische in 2019! Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben. Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''

== Allgemeines ==
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Christoph Kemetmüller | email = christoph.kemetmueller@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden. 

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember). 

* In gut erreichbarer Lage mit
* einem vorab angekündigten, dedizierten Thema
* mittels Vortrag, wenn's geht oder ersatzweise
* Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* Ankündigungen erfolgen hier und über die [https://lists.owasp.org/mailman/listinfo/owasp-germany Mailing-Liste des German Chapters]
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]

== Bereits gehaltene Stammtisch-Vorträge ==

* November 2018: [[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]] (Jim Manico, Hawaii)
* Oktober 2018: [[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]] (Jens Bitter)
* September 2018: [[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]] ([https://mirko.dziadzka.de/ Mirko Dziadzka]) 
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
* Juni 2018: SABSA-Anforderungsanalyse - Alle Stakeholder im Blick (Dr. Silvia Knittl)
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
* März 2018: [[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]] (Klaus-E. Klingner)
* Februar 2018: [[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]] (Helmut Petritsch)
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
* November 2017: [[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]] (Bastian Braun)
* September 2017: [[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]] (Dr. Gregor Kuznik), vgl auch [https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
* Juni 2017: [[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
* Mai 2017: [[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]] (Helmut Petritsch)
* März 2017: [[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]] (Daniel Kefer)
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom [https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase] (Dr. Gregor Kuznik)
* Januar 2017: [[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]] (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: [[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]] (Christoph Kemetmüller)
* Juli 2016: [[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]] (Johannes Bär)
* Mai 2016: [[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]] (Michael Spreitzenbarth)
* April 2016: Talk: [[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]] (Ralf Reinhard) Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard) Talk: [[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]] (Torsten Gigler und Thomas Herzog)
* März 2016: [[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]] (Andreas Falk)
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: [[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]] (Bastian Braun)
* November 2015: HTTP/2 - was ist das und warum will man das ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 [[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]] (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: [[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]] (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
* April 2015: [[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]] (Prof. Dr. Ruth Breu und Michael Brunner, [http://informatik.uibk.ac.at Universität Innsbruck])
* März 2015: [[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]] (Florian Stahl), Wiederholung des [[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des [[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]]
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des [[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]] vom [[German_OWASP_Day_2014|German OWASP Day 2014]] mit Live-Vorführung des Tools [[O-Saft|'O-Saft']]
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])


== [[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]] ==

(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)

[[Category:Germany]]
[[Category:Stammtisch]]