https://wiki.owasp.org/api.php?action=feedcontributions&feedformat=atom&user=ThsOWASP - User contributions [en]2026-04-26T00:17:16ZUser contributionsMediaWiki 1.27.2https://wiki.owasp.org/index.php?title=Template:OWASP_Germany_2010_Sponsors&diff=89910Template:OWASP Germany 2010 Sponsors2010-09-23T13:22:20Z<p>Ths: </p>
<hr />
<div>{|<br />
|-<br />
| &nbsp;&nbsp; <br />
| &nbsp;&nbsp;&nbsp;&nbsp;[http://www.artofdefence.com/ http://www.owasp.org/images/thumb/0/08/Aod.png/120px-Aod.png] <br />
| &nbsp;&nbsp;&nbsp;&nbsp;[http://www.securenet.de/ http://www.owasp.org/images/thumb/2/25/SecureNet.png/120px-SecureNet.png] <br />
| &nbsp;&nbsp;&nbsp;&nbsp;[http://www.lions-head.com/ http://www.owasp.org/images/thumb/c/c2/Lionshead.png/120px-Lionshead.png] <br />
| &nbsp;&nbsp;&nbsp;&nbsp;<br />
|-<br />
| &nbsp;&nbsp;&nbsp;&nbsp;<br />
|}</div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=71860OWASP AppSec Germany 2009 Conference2009-10-20T18:57:34Z<p>Ths: </p>
<hr />
<div>__NOTOC__ <br />
<br />
{| cellpadding="20" cellspacing="0" border="1" width="100%" align="center" | <br />
| Die Präsentationen stehen zum [[#Die Vorträge im Einzelnen|Download]] zur Verfügung.<br />
|}<br />
<br />
<br />
[[Image:Germany.gif|right]]Das [[Germany | OWASP German Chapter]] lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen. <br />
<br><br />
<br />
=== Sponsoren ===<br />
<br />
Wir danken unseren Sponsoren:<br />
<br />
<br />
{{Template:OWASP_Germany_2009_Sponsors}}<br />
<br />
<br><br />
<br />
==== Agenda ====<br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Montag, 12.10.09<br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 19:30-open end <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen. <br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen. <br />
<br />
--- Für das leibliche Wohl ist gesorgt. --- <br />
<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<br />
<br> <br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Dienstag, 13.10.09<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 08:30-09:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Registrierung und Kaffee<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:00-09:15 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Begrüßung'''<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:15-09:50 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Vorstellung des Open Web Application Security Project (OWASP) | '''Vorstellung des Open Web Application Security Project (OWASP)''']]<br />
<br />
''Dr. Boris Hemkemeier, OWASP German Chapter Board Member''<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:50-10:25<br> <br />
| align="left" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
[[#OWASP Education Project | '''OWASP Education Project''']]<br />
<br />
''Martin Knobloch'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:25-10:45 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:45-11:20<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Praktische Erfahrung mit dem Secure Software Lifecycle | '''Praktische Erfahrung mit dem Secure Software Lifecycle''']]<br />
<br />
''Dr. Bruce Sams, OptimaBit GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:20-11:55 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen | '''Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen''']]<br />
<br />
''Sebastian Schinzel, Virtual Forge'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:55-12:30<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Adaptive Sicherheit durch Anomalieerkennung | '''Adaptive Sicherheit durch Anomalieerkennung''']]<br />
<br />
''Hartmut Keil, AdNovum Informatik AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 12:30-13:30 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Mittagspause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 13:30-14:05 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Design Bugs | '''Design Bugs''']]<br />
<br />
''Alexios Fakos, n.runs AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:05-14:40 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#JavaScript from Hell - advanced client side injection techniques of tomorrow | '''JavaScript from Hell - advanced client side injection techniques of tomorrow''']]<br />
<br />
''Mario Heiderich'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:40-15:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:00-15:35 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Pentestvorbereitung: Sitemap für Webanwendungen (Tools) | '''Pentestvorbereitung: Sitemap für Webanwendungen (Tools)''']]<br />
<br />
''Achim Hoffmann, SecureNet GmbH''<br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:35-16:10 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Projektierung der Sicherheitsprüfung von Webanwendungenen| '''Projektierung der Sicherheitsprüfung von Webanwendungenen''']]<br />
<br />
''Tobias Glemser, Tele-Consulting GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 16:10-16:25 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Schlusswort'''<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''<br>''</div> <br />
<br><br />
<br />
== Die Vorträge im Einzelnen ==<br />
:* [http://www.owasp.org/images/d/d4/OWASPAppSecGermany2009-Alles_ueber_OWASP.pdf Vorstellung des Open Web Application Security Project]<br />
:* [http://www.owasp.org/images/5/51/OWASPAppSecGermany2009-Education_Project.pdf OWASP Education Project]<br />
:* [http://www.owasp.org/images/e/ef/Praktische_Erfahrung_mit_dem_SDLC.pdf Praktische Erfahrung mit dem Secure Software Lifecycle]<br />
:* [http://www.owasp.org/images/3/33/Schwachstellen_in_SAP_Web_Anwendungen.pdf Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen]<br />
:* [http://www.owasp.org/images/6/6d/Adaptive_Sicherheit_durch_Anomalieerkennung.pdf Adaptive Sicherheit durch Anomalieerkennung]<br />
:* [http://www.owasp.org/images/5/5d/2009-Design_Bugs.pdf Design Bugs]<br />
:* [http://www.owasp.org/images/5/58/JavaScript_aus_der_Hoelle.pdf JavaScript aus der Hölle - advanced client side injection techniques of tomorrow]<br />
:* [http://www.owasp.org/images/a/a0/Projektierung_Sicherherheitspruefung_von_Webanwendungen.pdf Projektierung der Sicherheitsprüfung von Webanwendungenen]<br />
:* [http://www.owasp.org/images/e/ed/Pentestvorbereitung_Sitemapping.pdf Pentestvorbereitung: Sitemap für Webanwendungen (Tools)]<br />
<!-- password for all .pdf --><br />
<br />
=== Vorstellung des Open Web Application Security Project (OWASP) ===<br />
<br />
:Eine kurze Vorstellung des German Chapters, der OWASP und einige Ihrer Projekte.<br />
:Nützliche Links aus dem Vortrag:<br />
<br />
::* Das [[Germany | OWASP German Chapter]] <br />
::* Die [[OWASP_German_Chapter_Stammtisch_Initiative | OWASP Stammtische]]<br />
::* [http://www.google.com/reader/public/atom/user/16712724397688793161/state/com.google/broadcast Moderated AppSec News Feed]<br />
::* [http://itunes.apple.com/WebObjects/MZStore.woa/wa/viewPodcast?id=300769012 OWASP Podcast] (iTunes Link)<br />
::* [http://www.owasp.tv OWASP TV] mit Aufzeichnungen von Vorträgen der großen OWASP AppSec Conferences<br />
::* [http://www.owasp.org/index.php/Category:OWASP_Project OWASP Projekte sortiert nach Release-Qualität]<br />
<br />
<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier ist Board Member des OWASP German Chapters. Er arbeitet als Principal Security Consultant bei der [http://www.commerzbank.de Commerzbank AG].<br />
<br />
=== OWASP Education Project ===<br />
:Die OWASP ist eine schier unerschöpfliche Quelle an Informationen zu fast allem, was die Sicherheit von Softwareanwendungen betrifft. Die Anzahl Projekte zu Tools und Dokumentationen wächst und wächst. Wo finde ich was zu welchem Thema? Was muss man und was sollte man wissen?<br />
<br />
:''Über Martin Knobloch''<br />
<br />
:Martin Knobloch ist Security Consultant bei Sogeti Nederland B.V., wo er die Arbeitsgruppe zur Anwendungssicherheit PaSS gegründet hat und leitet. Daneben ist Martin Mitglied des Niederländischen Chapter Board und trägt an meheren OWASP Projekten bei. Es ist Project Lead des OWASP Boot Camp, OWASP CTF, OWASP Speaker Project (Speaker Bureau) und OWASP Education Projekt. Martin ist aktives Mitglied des OWASP Global Education Committee.<br />
<br />
=== Praktische Erfahrung mit dem Secure Software Lifecycle ===<br />
:Fast 80% aller bekannten Sicherheitslücken haben ihren Ursprung in Anwendungen oder Infrastruktur-Komponenten wie zum Beispiel Web-Server und Application Server. Dies gilt für alle Arten von Software, egal ob selbstentwickelt, extern entwickelt, oder out-of-the-box-Standard-Software. Bekannte einzelne Maßnahmen wie Penetrationstests, Audits, Code-Reviews, usw. können helfen, aber sie müssen als Teile des "Secure Software Lifecycle" integriert werden, um am wirksamsten sein. <br />
<br />
:In dieser Präsentation erfahren Sie mehr über die effektivste Strategie für die Schaffung eines funktionierenden „Secure Software Lifecycle“. Die Beispiele sind aus der Praxis der Umsetzung des „Secure Software Lifecycle“ bei großen deutschen Unternehmen in den letzten Jahren. Sie werden sehen, wie man Kosten und Nutzen abschätzen kann und werden verstehen, wie die komplexen Puzzleteile zusammenpassen. Auf der Grundlage von konkreten Beispielen, erhalten Sie ein "Big Picture" der Sicherung der Software vor, während und nach der Entwicklung. <br />
<br />
:''Über Dr. Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel.<br />
<br />
=== Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen ===<br />
<br />
:Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers (WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die Entwicklung. <br />
<br />
: In diesem Vortrag stelle ich vor, wie man sichere Web-Anwendungen mit BSP entwickelt. Ich zeige weiterhin, wie Entwickler gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting, SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man die Schwachstellen im Laufe eines Code Audits entdecken kann.<br />
<br />
:''Über Sebastian Schinzel''<br />
<br />
:[http://www.sebastian-schinzel.de/ Sebastian Schinzel] ist seit mehr als sechs Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsanwendungen. Bei [http://www.virtualforge.de/ Virtual Forge] führt er Sicherheitsuntersuchungen von SAP-Geschäftsanwendungen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. Er ist Co-Autor des Buchs [http://www.sap-press.de/2037 "Sichere ABAP-Programmierung" (SAP-Press 2009)].<br />
<br />
=== Adaptive Sicherheit durch Anomalieerkennung ===<br />
<br />
:Weil die Funktionalität von Webapplikation stetig ausgebaut wird und zunehmend auch kritische Daten und Geschäftsprozesse damit gehandhabt werden, gehören Angriffe auf Webapplikationen zu den grössten aktuellen Sicherheitsproblemen. Zum Schutz vor solchen Bedrohungen kommen Web-Application-Firewalls (WAFs) zum Zuge. Aktuelle Komponenten setzen dabei auf ein Blacklist- oder Whitelist-Modell, welches mittels konfigurierbarer Regelsets durchgesetzt wird. Neuere Entwicklungen im Bereich von Whitelisting wie etwa URL- oder Form-Encryption figurieren auch unter dem Begriff “dynamisches Whitelisting”. Diesen Ansätzen sind diverse Grenzen gesetzt: Der Konfigurationsbedarf wird aufgrund der Komplexität heutiger Web-Anwendungen deutlich erhöht, Blacklist-Ansätze sind machtlos gegen “Zero-Day Exploits”, und sämtliche heutigen Ansätze greifen bei “Rich Internet Applications” (RIAs) und AJAX-Applikationen zu kurz. So auch dynamisches Whitelisting, welches mit JavaScript generierte URLs, Forms und Cookies nicht oder nur begrenzt handhaben kann.<br />
<br />
:Neue, innovative Techniken versprechen jedoch Abhilfe: So können mittels Anomalieerkennung Attacken auch ohne komplexe Konfiguration erkannt werden und mittels einer vertieften Analyse des Request- und Response-Bodys ist es möglich, RIAs zu schützen. Ein solcher Ansatz wird von AdNovum verfolgt und in dieser Session vorgestellt.<br />
<br />
:''Über Hartmut Keil''<br />
<br />
:Hartmut Keil ist diplomierter Physiker und Senior Software Engineer bei der AdNovum Informatik AG, einer Software-Engineering-Firma mit Sitz in Zürich. Sein Fokus liegt auf der Entwicklung von securityrelevanten Middlewarekomponenten wie Reverse-Proxies, Web-Application-Firewalls und Authentifizierungsservern.<br />
<br />
=== Design Bugs ===<br />
<br />
:oder wenn aus einem Marketing oder Usability Feature ein Sicherproblem entsteht...<br />
:In dem Vortrag werden "unpopuläre" Fehler besprochen, die während der Design Phase eines Entwicklungszykluses zu erkennen sind und entsprechend behandelt werden können. Diese Probleme werden durch veröffentlichte Vorfälle belegt und erörtert.<br />
<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
=== JavaScript from Hell - advanced client side injection techniques of tomorrow ===<br />
<br />
:Der Talk befasst sich mit dem Thema JavaScript im Kontext von Angriffen gegen Web-Applikationen, Malware und Überwindung von Filtern. Neben einem Überblick über bekannte Verschleierungstechniken für JavaScript Payload dreht sich der Talk ebenso um Verfahren verschleierten Code in Klartext umzuwandeln. Final wird das Thema Malware von morgen angesprochen - Verschleierungtechniken die sich nicht mehr ohne weiteres umkehren lassen, sich selbst verändernder Code und spezielle Verfahren zur Umgehung von Filtern in WAFs und anderen Defensiv-Systemen.<br />
<br />
:''Über Mario Heiderich''<br />
:Mario Heiderich ist derzeit wohnhaft in Köln, arbeitet als Freelancer im Bereich Websecurity für diverse deutsche und internationale Firmen und hat große Freude an der Firebug Konsole.<br />
<br />
=== Pentestvorbereitung: Sitemap für Webanwendungen (Tools) ===<br />
<br />
:Um sich Klarheit über den Stand der Sicherheit einer Webanwendung zu verschaffen, ist ein -mehr oder weniger umfassender- Penetrationstest geeigent, manchmal sogar unumgänglich. Ein Penetrationstest kann wichtige Erkenntnisse über vohandene Schwachstellen liefern. Je nach Schutzbedarf der Anwendung und dem Risiko, das die Schwachstellen bieten, kann eine Kosten-Nutzen-Abwägung erfolgen, um die Schwachstellen ggf. zu beheben.<br />
:Bei der Projektierung eines Penetrationstests stellt sich für Auftraggeber und Pentester die Frage, "was" und "wieviel" denn zu testen ist. Bei umfangreichen Anwendungen ist es daher notwendig, ein Profil des Testgegenstandes zu erstellen. Daraus ergibt sich zum einen der Testumfang (Quantität) und zum anderen die eigentlichen Testpunkte (Qualität) - und damit insgesamt auch die Kosten.<br />
:In diesem Beitrag werden für die vermeintlich einfache Aufgabe: "Profil (Sitemap) erstellen" zum einen die Schwierigkeiten beschrieben, die damit verbunden sind, und zum anderen Tools, die dabei unterstützend eingesetzt werden können.<br />
<br />
:''Über Achim Hoffmann''<br />
:Achim Hoffmann ist Senior Consultant im Bereich Web Application Security bei der [http://www.securenet.de/ SecureNet GmbH] in München. Er ist Co-Autor des ''OWASP Best Practices: Web Application Firewalls'' und von ''Sicherheit von Webanwendungen, Maßnahmen und Best Practices'' des BSI.<br />
<br />
=== Projektierung der Sicherheitsprüfung von Webanwendungenen ===<br />
<br />
:Die Prüfung der Sicherheit von Webanwendungen wird mittlerweile von vielen Unternehmen als erforderlicher Schritt anerkannt. Insbesondere für die erstmalige Prüfung ist es für den Betreiber von Webanwendungen schwierig, ein entsprechendes Projekt aufzusetzen. Es gilt, zum einen den Projektfokus sauber zu definieren, um eine Vergleichbarkeit von Angeboten zu erzielen und zum anderen die Expertise der Dienstleister möglichst transparent bewerten zu können. <br />
<br />
:Ziel dieses nicht-technischen Whitepapers ist die Darstellung von transparenten Methoden, um die Projektierung einer solchen Prüfung zu ermöglichen und den geeigneten Dienstleister zu finden. Am Whitepaper beteiligt sind sowohl Endkunden, als auch mehrere Dienstleister, so dass ein generisches Dokument entwickelt werden konnte.<br />
<br />
:[[Projektierung_der_Sicherheitsprüfung_von_Webanwendungen | Projektierung der Sicherheitsprüfung von Webanwendungen]]<br />
<br />
:''Über Tobias Glemser''<br />
<br />
:Tobias Glemser beschäftigt sich seit dem Jahr 2000 mit der Planung und Durchführung von Penetrationstests auf Web-Anwendungen. Er ist leitender IT-Sicherheitsberater bei der [http://www.tele-consulting.com Tele-Consulting security networking training GmbH].<br />
<br />
==== Veranstaltungsort ====<br />
<br />
=== Konferenzort ===<br />
CCN Ost CongressCenter Nürnberg<br />
<br />
Messezentrum<br />
<br />
90471 Nürnberg<br />
<br />
[http://www.congressing.de www.congressing.de]<br />
<br />
=== Vorträge ===<br />
<br />
Ebene 3, '''Raum Shanghai''' <br />
<br />
Das Come Together in den Pausen und die Ausstellung finden in der Galerie vor dem Raum Shanghai und dem Foyer Shanghai/Seoul statt.<br />
<br />
=== Anreise ===<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/auto/ Anreise mit dem Auto]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/bahn/ Anreise mit der Bahn und dem Öffentlichen Nahverkehr]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/flugzeug/ Anreise mit dem Flugzeug]<br />
<br />
=== NürnbergMOBIL ===<br />
<br />
'''[http://www.nuernbergmobil.de NürnbergMOBIL]''' bietet Informationen zu sämtlichen Verkehrsverbindungen, dem Stadtgeschehen und rund um den Tourismus in Nürnberg<br />
<br />
==== Vorabendveranstaltung ====<br />
<br><br />
<br />
Zwischen 19:30 und 20:00 Uhr geht es am Vorabend, dem 12.10.09, los! Alle Teilnehmer sind zum Kennenlernen, Erfahrungsaustausch, Kontakteknüpfen in lockerer Atmosphäre eingeladen (Bitte auf dem Anmeldeformular entsprechend vermerken). Für das leibliche Wohl ist gesorgt.<br />
<br />
<br />
'''Restaurant Steichele'''<br />
<br />
Knorrstraße 2-8 <br />
<br />
90402 Nürnberg <br />
<br />
Telefon: +49 (0) 911 20 22 8-0 <br />
Telefax: +49 (0) 911 22 19 14 <br />
<br />
<br />
[http://www.steichele.de Link zum Restaurant]<br />
<br />
[http://www.steichele.de/dokumente/wegbeschreibung_STEICHELE.pdf Anreise zum Restauant (pdf)]<br />
<br />
<br />
==== Anmeldung und Preise ====<br />
<br />
<br><br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
<br><br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br><br />
Auf dem OWASP-Stand der [http://www.it-sa.de/ it-sa] erhalten Sie Informationen zur OWASP und können sich fachlich austauschen.<br />
<br />
<br />
Sie finden uns am '''Stand 6-712''' ([http://www.it-sa.de/hallenplan-it-sa-2009/ Hallenplan])<br />
<br />
==== Infos für Sponsoren ====<br />
<br><br />
Es besteht die Möglichkeit zum Ausstellen und zum Logo-Sponsoring. [http://www.owasp.org/images/3/3d/OWASP_D_2009_SponsorenInfo_GHE_2009_08_19.pdf Infos für Sponsoren hier.]<br />
<br><br />
==== CfP (closed) ====<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete <br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungsframeworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
<br> '''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.''' <br />
<br />
<br> <br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br> <br />
<br />
=== Weitere Informationen ===<br />
<br />
*Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/ <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Kontakt: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision. <br />
<br />
<br> <br />
<br />
=== Topics of Interest ===<br />
<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security): <br />
<br />
*Technical talks with particular relevancy to practice. <br />
*Secure development frameworks and best practices <br />
*Security awareness programs for developers, testers, architects and business people <br />
*Security management of web based applications <br />
*Security management in outsourcing and off-shoring projects and operations <br />
*Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc. <br />
*OWASP in your enterprise or university <br />
*Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below). <br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc). <br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.''' <br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab. <br />
*Acceptance notification until 31st August, 2009. <br />
*Submission deadline for presentation slides (prefinal) 1st October, 2009 <br />
*'''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br> <br />
<br />
=== Additional information: ===<br />
<br />
*Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Contact: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<headertabs /></div>Thshttps://wiki.owasp.org/index.php?title=Template:OWASP_Germany_2009_Sponsors&diff=70436Template:OWASP Germany 2009 Sponsors2009-10-02T18:06:01Z<p>Ths: </p>
<hr />
<div>{| <br />
|-<br />
| &nbsp;&nbsp; <br />
| &nbsp;&nbsp;&nbsp;&nbsp;[http://www.artofdefence.com/ http://www.owasp.org/images/0/08/Aod.png]<br />
| &nbsp;&nbsp;&nbsp;&nbsp;[http://www.carmao.eu/ http://www.owasp.org/images/5/51/Carmao.png]<br />
| &nbsp;&nbsp;&nbsp;&nbsp;[http://www.imperva.com/ http://www.owasp.org/images/d/de/Imperva_2color_RGB.jpg]<br />
| &nbsp;&nbsp;&nbsp;&nbsp;[http://www.securenet.de/ http://www.owasp.org/images/2/25/SecureNet.png]<br />
| &nbsp;&nbsp;&nbsp;&nbsp;<br />
|-<br />
| &nbsp;&nbsp;&nbsp;&nbsp;<br />
|}</div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=69675OWASP AppSec Germany 2009 Conference2009-09-23T19:39:45Z<p>Ths: /* Praktische Erfahrung mit dem Secure Software Lifecycle */</p>
<hr />
<div>__NOTOC__ <br />
<br />
[[Image:Germany.gif|right]]Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen. <br />
<br><br />
<br />
=== Sponsoren ===<br />
<br />
Wir danken unseren Sponsoren:<br />
<br />
<br />
{{Template:OWASP_Germany_2009_Sponsors}}<br />
<br />
<br><br />
<br />
==== Agenda ====<br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Montag, 12.10.09<br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 19:30-open end <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen. <br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen. <br />
<br />
--- Für das leibliche Wohl ist gesorgt. --- <br />
<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<br />
<br> <br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Dienstag, 13.10.09<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 08:30-09:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Registrierung und Kaffee<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:00-09:15 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Begrüßung'''<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:15-09:50 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Vorstellung des Open Web Application Security Project (OWASP) | '''Vorstellung des Open Web Application Security Project (OWASP)''']]<br />
<br />
''Dr. Boris Hemkemeier, OWASP German Chapter Board Member''<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:50-10:25<br> <br />
| align="left" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
[[#OWASP Education Project | '''OWASP Education Project''']]<br />
<br />
''Martin Knobloch'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:25-10:45 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:45-11:20<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Praktische Erfahrung mit dem Secure Software Lifecycle | '''Praktische Erfahrung mit dem Secure Software Lifecycle''']]<br />
<br />
''Dr. Bruce Sams, OptimaBit GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:20-11:55 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen | '''Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen''']]<br />
<br />
''Sebastian Schinzel, Virtual Forge'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:55-12:30<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Adaptive Sicherheit durch Anomalieerkennung | '''Adaptive Sicherheit durch Anomalieerkennung''']]<br />
<br />
''Patrick Hammer, AdNovum Informatik AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 12:30-13:30 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Mittagspause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 13:30-14:05 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Design Bugs | '''Design Bugs''']]<br />
<br />
''Alexios Fakos, n.runs AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:05-14:40 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#JavaScript from Hell - advanced client side injection techniques of tomorrow | '''JavaScript from Hell - advanced client side injection techniques of tomorrow''']]<br />
<br />
''Mario Heiderich'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:40-15:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:00-15:35 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Pentvorbereitung: Sitemap für Webanwendungen (Tools) | '''Pentvorbereitung: Sitemap für Webanwendungen (Tools)''']]<br />
<br />
''Achim Hoffmann, SecureNet GmbH''<br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:35-16:10 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Projektierung von Sicherheitsprüfungen von Webanwendungenen| '''Projektierung von Sicherheitsprüfungen von Webanwendungenen''']]<br />
<br />
''Tobias Glemser, Tele-Consulting GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 16:10-16:25 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Schlusswort'''<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''<br>''</div> <br />
<br><br />
<br />
== Die Vorträge im Einzelnen ==<br />
<br />
=== Vorstellung des Open Web Application Security Project (OWASP) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier ist Board Member des OWASP German Chapters. Er arbeitet als Principal Security Consultant bei der [http://www.commerzbank.de Commerzbank AG].<br />
<br />
=== OWASP Education Project ===<br />
:Die OWASP ist eine schier unerschöpfliche Quelle an Informationen zu fast allem, was die Sicherheit von Softwareanwendungen betrifft. Die Anzahl Projekte zu Tools und Dokumentationen wächst und wächst. Wo finde ich was zu welchem Thema? Was muss man und was sollte man wissen?<br />
<br />
:''Über Martin Knobloch''<br />
<br />
:Martin Knobloch ist Security Consultant bei Sogeti Nederland B.V., wo er die Arbeitsgruppe zur Anwendungssicherheit PaSS gegründet hat und leitet. Daneben ist Martin Mitglied des Niederländischen Chapter Board und trägt an meheren OWASP Projekten bei. Es ist Project Lead des OWASP Boot Camp, OWASP CTF, OWASP Speaker Project (Speaker Bureau) und OWASP Education Projekt. Martin ist aktives Mitglied des OWASP Global Education Committee.<br />
<br />
=== Praktische Erfahrung mit dem Secure Software Lifecycle ===<br />
:Fast 80% aller bekannten Sicherheitslücken haben ihren Ursprung in Anwendungen oder Infrastruktur-Komponenten wie zum Beispiel Web-Server und Application Server. Dies gilt für alle Arten von Software, egal ob selbstentwickelt, extern entwickelt, oder out-of-the-box-Standard-Software. Bekannte einzelne Maßnahmen wie Penetrationstests, Audits, Code-Reviews, usw. können helfen, aber sie müssen als Teile des "Secure Software Lifecycle" integriert werden, um am wirksamsten sein. <br />
<br />
:In dieser Präsentation erfahren Sie mehr über die effektivste Strategie für die Schaffung eines funktionierenden „Secure Software Lifecycle“. Die Beispiele sind aus der Praxis der Umsetzung des „Secure Software Lifecycle“ bei großen deutschen Unternehmen in den letzten Jahren. Sie werden sehen, wie man Kosten und Nutzen abschätzen kann und werden verstehen, wie die komplexen Puzzleteile zusammenpassen. Auf der Grundlage von konkreten Beispielen, erhalten Sie ein "Big Picture" der Sicherung der Software vor, während und nach der Entwicklung. <br />
<br />
:''Über Dr. Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel.<br />
<br />
=== Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen ===<br />
<br />
:Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers (WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die Entwicklung. <br />
<br />
: In diesem Vortrag stelle ich vor, wie man sichere Web-Anwendungen mit BSP bzw. Web Dynpro ABAP entwickelt. Ich zeige weiterhin, wie Entwickler gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting, SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man die Schwachstellen im Laufe eines Code Audits entdecken kann.<br />
<br />
:''Über Sebastian Schinzel''<br />
<br />
:Sebastian Schinzel ist seit mehr als sechs Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsanwendungen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsanwendungen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. Er ist Co-Autor des Buchs "Sichere ABAP-Programmierung" (SAP-Press 2009).<br />
<br />
=== Adaptive Sicherheit durch Anomalieerkennung ===<br />
<br />
:Weil die Funktionalität von Webapplikation stetig ausgebaut wird und zunehmend auch kritische Daten und Geschäftsprozesse damit gehandhabt werden, gehören Angriffe auf Webapplikationen zu den grössten aktuellen Sicherheitsproblemen. Zum Schutz vor solchen Bedrohungen kommen Web-Application-Firewalls (WAFs) zum Zuge. Aktuelle Komponenten setzen dabei auf ein Blacklist- oder Whitelist-Modell, welches mittels konfigurierbarer Regelsets durchgesetzt wird. Neuere Entwicklungen im Bereich von Whitelisting wie etwa URL- oder Form-Encryption figurieren auch unter dem Begriff “dynamisches Whitelisting”. Diesen Ansätzen sind diverse Grenzen gesetzt: Der Konfigurationsbedarf wird aufgrund der Komplexität heutiger Web-Anwendungen deutlich erhöht, Blacklist-Ansätze sind machtlos gegen “Zero-Day Exploits”, und sämtliche heutigen Ansätze greifen bei “Rich Internet Applications” (RIAs) und AJAX-Applikationen zu kurz. So auch dynamisches Whitelisting, welches mit JavaScript generierte URLs, Forms und Cookies nicht oder nur begrenzt handhaben kann.<br />
<br />
:Neue, innovative Techniken versprechen jedoch Abhilfe: So können mittels Anomalieerkennung Attacken auch ohne komplexe Konfiguration erkannt werden und mittels einer vertieften Analyse des Request- und Response-Bodys ist es möglich, RIAs zu schützen. Ein solcher Ansatz wird von AdNovum verfolgt und in dieser Session vorgestellt.<br />
<br />
:''Über Patrick Hammer''<br />
<br />
:folgt in Kürze<br />
<br />
=== Design Bugs ===<br />
<br />
:oder wenn aus einem Marketing oder Usability Feature ein Sicherproblem entsteht...<br />
:In dem Vortrag werden "unpopuläre" Fehler besprochen, die während der Design Phase eines Entwicklungszykluses zu erkennen sind und entsprechend behandelt werden können. Diese Probleme werden durch veröffentlichte Vorfälle belegt und erörtert.<br />
<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
=== JavaScript from Hell - advanced client side injection techniques of tomorrow ===<br />
<br />
:Der Talk befasst sich mit dem Thema JavaScript im Kontext von Angriffen gegen Web-Applikationen, Malware und Überwindung von Filtern. Neben einem Überblick über bekannte Verschleierungstechniken für JavaScript Payload dreht sich der Talk ebenso um Verfahren verschleierten Code in Klartext umzuwandeln. Final wird das Thema Malware von morgen angesprochen - Verschleierungtechniken die sich nicht mehr ohne weiteres umkehren lassen, sich selbst verändernder Code und spezielle Verfahren zur Umgehung von Filtern in WAFs und anderen Defensiv-Systemen.<br />
<br />
:''Über Mario Heiderich''<br />
:Mario Heiderich ist derzeit wohnhaft in Köln, arbeitet als Freelancer im Bereich Websecurity für diverse deutsche und internationale Firmen und hat große Freude an der Firebug Konsole.<br />
<br />
=== Pentvorbereitung: Sitemap für Webanwendungen (Tools) ===<br />
<br />
:Um sich Klarheit über den Stand der Sicherheit einer Webanwendung zu verschaffen, ist ein -mehr oder weniger umfassender- Penetrationstest geeigent, manchmal sogar unumgänglich. Ein Penetrationstest kann wichtige Erkenntnisse über vohandene Schwachstellen liefern. Je nach Schutzbedarf der Anwendung und dem Risiko, das die Schwachstellen bieten, kann eine Kosten-Nutzen-Abwägung erfolgen, um die Schwachstellen ggf. zu beheben.<br />
:Bei der Projektierung eines Penetrationstests stellt sich für Auftraggeber und Pentester die Frage, "was" und "wieviel" denn zu testen ist. Bei umfangreichen Anwendungen ist es daher notwendig, ein Profil des Testgegenstandes zu erstellen. Daraus ergibt sich zum einen der Testumfang (Quantität) und zum anderen die eigentlichen Testpunkte (Qualität) - und damit insgesamt auch die Kosten.<br />
:In diesem Beitrag werden für die vermeintlich einfache Aufgabe: "Profil (Sitemap) erstellen" zum einen die Schwierigkeiten beschrieben, die damit verbunden sind, und zum anderen Tools, die dabei unterstützend eingesetzt werden können.<br />
<br />
:''Über Achim Hoffmann''<br />
:Achim Hoffmann arbeitet als Senior Netzwerk und Security Consultant bei der [http://www.securenet.de/ SecureNet GmbH].<br />
<br />
=== Projektierung von Sicherheitsprüfungen von Webanwendungenen ===<br />
<br />
:Die Prüfung der Sicherheit von Webanwendungen wird mittlerweile von vielen Unternehmen als erforderlicher Schritt anerkannt. Insbesondere für die erstmalige Prüfung ist es für den Betreiber von Webanwendungen schwierig, ein entsprechendes Projekt aufzusetzen. Es gilt, zum einen den Projektfokus sauber zu definieren, um eine Vergleichbarkeit von Angeboten zu erzielen und zum anderen die Expertise der Dienstleister möglichst transparent bewerten zu können. <br />
<br />
:Ziel dieses nicht-technischen Whitepapers ist die Darstellung von transparenten Methoden, um die Projektierung einer solchen Prüfung zu ermöglichen und den geeigneten Dienstleister zu finden. Am Whitepaper beteiligt sind sowohl Endkunden, als auch mehrere Dienstleister, so dass ein generisches Dokument entwickelt werden konnte.<br />
<br />
:''Über Tobias Glemser''<br />
<br />
:Tobias Glemser beschäftigt sich seit dem Jahr 2000 mit der Planung und Durchführung von Penetrationstests auf Web-Anwendungen. Er ist leitender IT-Sicherheitsberater bei der [http://www.tele-consulting.com Tele-Consulting security networking training GmbH].<br />
<br />
==== Veranstaltungsort ====<br />
<br />
=== Konferenzort ===<br />
CCN Ost CongressCenter Nürnberg<br />
<br />
Messezentrum<br />
<br />
90471 Nürnberg<br />
<br />
[http://www.congressing.de www.congressing.de]<br />
<br />
=== Vorträge ===<br />
<br />
Ebene 3, '''Raum Shanghai''' <br />
<br />
Das Come Together in den Pausen und die Ausstellung finden in der Galerie vor dem Raum Shanghai und dem Foyer Shanghai/Seoul statt.<br />
<br />
=== Anreise ===<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/auto/ Anreise mit dem Auto]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/bahn/ Anreise mit der Bahn und dem Öffentlichen Nahverkehr]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/flugzeug/ Anreise mit dem Flugzeug]<br />
<br />
=== NürnbergMOBIL ===<br />
<br />
'''[http://www.nuernbergmobil.de NürnbergMOBIL]''' bietet Informationen zu sämtlichen Verkehrsverbindungen, dem Stadtgeschehen und rund um den Tourismus in Nürnberg<br />
<br />
==== Vorabendveranstaltung ====<br />
<br><br />
<br />
Zwischen 19:30 und 20:00 Uhr geht es am Vorabend, dem 12.10.09, los! Alle Teilnehmer sind zum Kennenlernen, Erfahrungsaustausch, Kontakteknüpfen in lockerer Atmosphäre eingeladen (Bitte auf dem Anmeldeformular entsprechend vermerken). Für das leibliche Wohl ist gesorgt.<br />
<br />
<br />
'''Restaurant Steichele'''<br />
<br />
Knorrstraße 2-8 <br />
<br />
90402 Nürnberg <br />
<br />
Telefon: +49 (0) 911 20 22 8-0 <br />
Telefax: +49 (0) 911 22 19 14 <br />
<br />
<br />
[http://www.steichele.de Link zum Restaurant]<br />
<br />
[http://www.steichele.de/dokumente/wegbeschreibung_STEICHELE.pdf Anreise zum Restauant (pdf)]<br />
<br />
<br />
==== Anmeldung und Preise ====<br />
<br />
<br><br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
<br><br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br><br />
Auf dem OWASP-Stand der [http://www.it-sa.de/ it-sa] erhalten Sie Informationen zur OWASP und können sich fachlich austauschen.<br />
<br />
<br />
Sie finden uns am '''Stand 6-712''' ([http://www.it-sa.de/hallenplan-it-sa-2009/ Hallenplan])<br />
<br />
==== Infos für Sponsoren ====<br />
<br><br />
Es besteht die Möglichkeit zum Ausstellen und zum Logo-Sponsoring. [http://www.owasp.org/images/3/3d/OWASP_D_2009_SponsorenInfo_GHE_2009_08_19.pdf Infos für Sponsoren hier.]<br />
<br><br />
==== CfP (closed) ====<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete <br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungsframeworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
<br> '''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.''' <br />
<br />
<br> <br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br> <br />
<br />
=== Weitere Informationen ===<br />
<br />
*Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/ <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Kontakt: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision. <br />
<br />
<br> <br />
<br />
=== Topics of Interest ===<br />
<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security): <br />
<br />
*Technical talks with particular relevancy to practice. <br />
*Secure development frameworks and best practices <br />
*Security awareness programs for developers, testers, architects and business people <br />
*Security management of web based applications <br />
*Security management in outsourcing and off-shoring projects and operations <br />
*Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc. <br />
*OWASP in your enterprise or university <br />
*Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below). <br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc). <br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.''' <br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab. <br />
*Acceptance notification until 31st August, 2009. <br />
*Submission deadline for presentation slides (prefinal) 1st October, 2009 <br />
*'''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br> <br />
<br />
=== Additional information: ===<br />
<br />
*Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Contact: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<headertabs /></div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=69674OWASP AppSec Germany 2009 Conference2009-09-23T19:31:53Z<p>Ths: /* Design Bugs */</p>
<hr />
<div>__NOTOC__ <br />
<br />
[[Image:Germany.gif|right]]Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen. <br />
<br><br />
<br />
=== Sponsoren ===<br />
<br />
Wir danken unseren Sponsoren:<br />
<br />
<br />
{{Template:OWASP_Germany_2009_Sponsors}}<br />
<br />
<br><br />
<br />
==== Agenda ====<br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Montag, 12.10.09<br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 19:30-open end <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen. <br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen. <br />
<br />
--- Für das leibliche Wohl ist gesorgt. --- <br />
<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<br />
<br> <br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Dienstag, 13.10.09<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 08:30-09:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Registrierung und Kaffee<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:00-09:15 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Begrüßung'''<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:15-09:50 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Vorstellung des Open Web Application Security Project (OWASP) | '''Vorstellung des Open Web Application Security Project (OWASP)''']]<br />
<br />
''Dr. Boris Hemkemeier, OWASP German Chapter Board Member''<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:50-10:25<br> <br />
| align="left" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
[[#OWASP Education Project | '''OWASP Education Project''']]<br />
<br />
''Martin Knobloch'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:25-10:45 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:45-11:20<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Praktische Erfahrung mit dem Secure Software Lifecycle | '''Praktische Erfahrung mit dem Secure Software Lifecycle''']]<br />
<br />
''Dr. Bruce Sams, OptimaBit GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:20-11:55 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen | '''Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen''']]<br />
<br />
''Sebastian Schinzel, Virtual Forge'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:55-12:30<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Adaptive Sicherheit durch Anomalieerkennung | '''Adaptive Sicherheit durch Anomalieerkennung''']]<br />
<br />
''Patrick Hammer, AdNovum Informatik AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 12:30-13:30 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Mittagspause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 13:30-14:05 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Design Bugs | '''Design Bugs''']]<br />
<br />
''Alexios Fakos, n.runs AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:05-14:40 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#JavaScript from Hell - advanced client side injection techniques of tomorrow | '''JavaScript from Hell - advanced client side injection techniques of tomorrow''']]<br />
<br />
''Mario Heiderich'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:40-15:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:00-15:35 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Pentvorbereitung: Sitemap für Webanwendungen (Tools) | '''Pentvorbereitung: Sitemap für Webanwendungen (Tools)''']]<br />
<br />
''Achim Hoffmann, SecureNet GmbH''<br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:35-16:10 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Projektierung von Sicherheitsprüfungen von Webanwendungenen| '''Projektierung von Sicherheitsprüfungen von Webanwendungenen''']]<br />
<br />
''Tobias Glemser, Tele-Consulting GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 16:10-16:25 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Schlusswort'''<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''<br>''</div> <br />
<br><br />
<br />
== Die Vorträge im Einzelnen ==<br />
<br />
=== Vorstellung des Open Web Application Security Project (OWASP) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier ist Board Member des OWASP German Chapters. Er arbeitet als Principal Security Consultant bei der [http://www.commerzbank.de Commerzbank AG].<br />
<br />
=== OWASP Education Project ===<br />
:Die OWASP ist eine schier unerschöpfliche Quelle an Informationen zu fast allem, was die Sicherheit von Softwareanwendungen betrifft. Die Anzahl Projekte zu Tools und Dokumentationen wächst und wächst. Wo finde ich was zu welchem Thema? Was muss man und was sollte man wissen?<br />
<br />
:''Über Martin Knobloch''<br />
<br />
:Martin Knobloch ist Security Consultant bei Sogeti Nederland B.V., wo er die Arbeitsgruppe zur Anwendungssicherheit PaSS gegründet hat und leitet. Daneben ist Martin Mitglied des Niederländischen Chapter Board und trägt an meheren OWASP Projekten bei. Es ist Project Lead des OWASP Boot Camp, OWASP CTF, OWASP Speaker Project (Speaker Bureau) und OWASP Education Projekt. Martin ist aktives Mitglied des OWASP Global Education Committee.<br />
<br />
=== Praktische Erfahrung mit dem Secure Software Lifecycle ===<br />
:Fast 80% aller bekannten Sicherheitslücken haben ihren Ursprung in Anwendungen oder Infrastruktur-Komponenten wie zum Beispiel Web-Server und Application Server. Dies gilt für alle Arten von Software, egal ob selbstentwickelt, extern entwickelt, oder out-of-the-box-Standard-Software. Bekannte einzelne Maßnahmen wie Penetrationstests, Audits, Code-Reviews, usw. können helfen, aber sie müssen als Teile des "Secure Software Lifecycle" integriert werden, um am wirksamsten sein. <br />
<br />
:In dieser Präsentation erfahren Sie mehr über die effektivste Strategie für die Schaffung eines funktionierenden „Secure Software Lifecycle“. Die Beispiele sind aus der Praxis der Umsetzung des „Secure Software Lifecycle“ bei großen deutschen Unternehmen in den letzten Jahren. Sie werden sehen, wie man Kosten und Nutzen abschätzen kann und werden verstehen, wie die komplexen Puzzleteile zusammenpassen. Auf der Grundlage von konkreten Beispielen, erhalten Sie ein "Big Picture" der Sicherung der Software vor, während und nach der Entwicklung. <br />
<br />
:''Über Dr. Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel. <br />
<br />
=== Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen ===<br />
<br />
:Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers (WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die Entwicklung. <br />
<br />
: In diesem Vortrag stelle ich vor, wie man sichere Web-Anwendungen mit BSP bzw. Web Dynpro ABAP entwickelt. Ich zeige weiterhin, wie Entwickler gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting, SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man die Schwachstellen im Laufe eines Code Audits entdecken kann.<br />
<br />
:''Über Sebastian Schinzel''<br />
<br />
:Sebastian Schinzel ist seit mehr als sechs Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsanwendungen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsanwendungen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. Er ist Co-Autor des Buchs "Sichere ABAP-Programmierung" (SAP-Press 2009).<br />
<br />
=== Adaptive Sicherheit durch Anomalieerkennung ===<br />
<br />
:Weil die Funktionalität von Webapplikation stetig ausgebaut wird und zunehmend auch kritische Daten und Geschäftsprozesse damit gehandhabt werden, gehören Angriffe auf Webapplikationen zu den grössten aktuellen Sicherheitsproblemen. Zum Schutz vor solchen Bedrohungen kommen Web-Application-Firewalls (WAFs) zum Zuge. Aktuelle Komponenten setzen dabei auf ein Blacklist- oder Whitelist-Modell, welches mittels konfigurierbarer Regelsets durchgesetzt wird. Neuere Entwicklungen im Bereich von Whitelisting wie etwa URL- oder Form-Encryption figurieren auch unter dem Begriff “dynamisches Whitelisting”. Diesen Ansätzen sind diverse Grenzen gesetzt: Der Konfigurationsbedarf wird aufgrund der Komplexität heutiger Web-Anwendungen deutlich erhöht, Blacklist-Ansätze sind machtlos gegen “Zero-Day Exploits”, und sämtliche heutigen Ansätze greifen bei “Rich Internet Applications” (RIAs) und AJAX-Applikationen zu kurz. So auch dynamisches Whitelisting, welches mit JavaScript generierte URLs, Forms und Cookies nicht oder nur begrenzt handhaben kann.<br />
<br />
:Neue, innovative Techniken versprechen jedoch Abhilfe: So können mittels Anomalieerkennung Attacken auch ohne komplexe Konfiguration erkannt werden und mittels einer vertieften Analyse des Request- und Response-Bodys ist es möglich, RIAs zu schützen. Ein solcher Ansatz wird von AdNovum verfolgt und in dieser Session vorgestellt.<br />
<br />
:''Über Patrick Hammer''<br />
<br />
:folgt in Kürze<br />
<br />
=== Design Bugs ===<br />
<br />
:oder wenn aus einem Marketing oder Usability Feature ein Sicherproblem entsteht...<br />
:In dem Vortrag werden "unpopuläre" Fehler besprochen, die während der Design Phase eines Entwicklungszykluses zu erkennen sind und entsprechend behandelt werden können. Diese Probleme werden durch veröffentlichte Vorfälle belegt und erörtert.<br />
<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
=== JavaScript from Hell - advanced client side injection techniques of tomorrow ===<br />
<br />
:Der Talk befasst sich mit dem Thema JavaScript im Kontext von Angriffen gegen Web-Applikationen, Malware und Überwindung von Filtern. Neben einem Überblick über bekannte Verschleierungstechniken für JavaScript Payload dreht sich der Talk ebenso um Verfahren verschleierten Code in Klartext umzuwandeln. Final wird das Thema Malware von morgen angesprochen - Verschleierungtechniken die sich nicht mehr ohne weiteres umkehren lassen, sich selbst verändernder Code und spezielle Verfahren zur Umgehung von Filtern in WAFs und anderen Defensiv-Systemen.<br />
<br />
:''Über Mario Heiderich''<br />
:Mario Heiderich ist derzeit wohnhaft in Köln, arbeitet als Freelancer im Bereich Websecurity für diverse deutsche und internationale Firmen und hat große Freude an der Firebug Konsole.<br />
<br />
=== Pentvorbereitung: Sitemap für Webanwendungen (Tools) ===<br />
<br />
:Um sich Klarheit über den Stand der Sicherheit einer Webanwendung zu verschaffen, ist ein -mehr oder weniger umfassender- Penetrationstest geeigent, manchmal sogar unumgänglich. Ein Penetrationstest kann wichtige Erkenntnisse über vohandene Schwachstellen liefern. Je nach Schutzbedarf der Anwendung und dem Risiko, das die Schwachstellen bieten, kann eine Kosten-Nutzen-Abwägung erfolgen, um die Schwachstellen ggf. zu beheben.<br />
:Bei der Projektierung eines Penetrationstests stellt sich für Auftraggeber und Pentester die Frage, "was" und "wieviel" denn zu testen ist. Bei umfangreichen Anwendungen ist es daher notwendig, ein Profil des Testgegenstandes zu erstellen. Daraus ergibt sich zum einen der Testumfang (Quantität) und zum anderen die eigentlichen Testpunkte (Qualität) - und damit insgesamt auch die Kosten.<br />
:In diesem Beitrag werden für die vermeintlich einfache Aufgabe: "Profil (Sitemap) erstellen" zum einen die Schwierigkeiten beschrieben, die damit verbunden sind, und zum anderen Tools, die dabei unterstützend eingesetzt werden können.<br />
<br />
:''Über Achim Hoffmann''<br />
:Achim Hoffmann arbeitet als Senior Netzwerk und Security Consultant bei der [http://www.securenet.de/ SecureNet GmbH].<br />
<br />
=== Projektierung von Sicherheitsprüfungen von Webanwendungenen ===<br />
<br />
:Die Prüfung der Sicherheit von Webanwendungen wird mittlerweile von vielen Unternehmen als erforderlicher Schritt anerkannt. Insbesondere für die erstmalige Prüfung ist es für den Betreiber von Webanwendungen schwierig, ein entsprechendes Projekt aufzusetzen. Es gilt, zum einen den Projektfokus sauber zu definieren, um eine Vergleichbarkeit von Angeboten zu erzielen und zum anderen die Expertise der Dienstleister möglichst transparent bewerten zu können. <br />
<br />
:Ziel dieses nicht-technischen Whitepapers ist die Darstellung von transparenten Methoden, um die Projektierung einer solchen Prüfung zu ermöglichen und den geeigneten Dienstleister zu finden. Am Whitepaper beteiligt sind sowohl Endkunden, als auch mehrere Dienstleister, so dass ein generisches Dokument entwickelt werden konnte.<br />
<br />
:''Über Tobias Glemser''<br />
<br />
:Tobias Glemser beschäftigt sich seit dem Jahr 2000 mit der Planung und Durchführung von Penetrationstests auf Web-Anwendungen. Er ist leitender IT-Sicherheitsberater bei der [http://www.tele-consulting.com Tele-Consulting security networking training GmbH].<br />
<br />
==== Veranstaltungsort ====<br />
<br />
=== Konferenzort ===<br />
CCN Ost CongressCenter Nürnberg<br />
<br />
Messezentrum<br />
<br />
90471 Nürnberg<br />
<br />
[http://www.congressing.de www.congressing.de]<br />
<br />
=== Vorträge ===<br />
<br />
Ebene 3, '''Raum Shanghai''' <br />
<br />
Das Come Together in den Pausen und die Ausstellung finden in der Galerie vor dem Raum Shanghai und dem Foyer Shanghai/Seoul statt.<br />
<br />
=== Anreise ===<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/auto/ Anreise mit dem Auto]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/bahn/ Anreise mit der Bahn und dem Öffentlichen Nahverkehr]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/flugzeug/ Anreise mit dem Flugzeug]<br />
<br />
=== NürnbergMOBIL ===<br />
<br />
'''[http://www.nuernbergmobil.de NürnbergMOBIL]''' bietet Informationen zu sämtlichen Verkehrsverbindungen, dem Stadtgeschehen und rund um den Tourismus in Nürnberg<br />
<br />
==== Vorabendveranstaltung ====<br />
<br><br />
<br />
Zwischen 19:30 und 20:00 Uhr geht es am Vorabend, dem 12.10.09, los! Alle Teilnehmer sind zum Kennenlernen, Erfahrungsaustausch, Kontakteknüpfen in lockerer Atmosphäre eingeladen (Bitte auf dem Anmeldeformular entsprechend vermerken). Für das leibliche Wohl ist gesorgt.<br />
<br />
<br />
'''Restaurant Steichele'''<br />
<br />
Knorrstraße 2-8 <br />
<br />
90402 Nürnberg <br />
<br />
Telefon: +49 (0) 911 20 22 8-0 <br />
Telefax: +49 (0) 911 22 19 14 <br />
<br />
<br />
[http://www.steichele.de Link zum Restaurant]<br />
<br />
[http://www.steichele.de/dokumente/wegbeschreibung_STEICHELE.pdf Anreise zum Restauant (pdf)]<br />
<br />
<br />
==== Anmeldung und Preise ====<br />
<br />
<br><br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
<br><br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br><br />
Auf dem OWASP-Stand der [http://www.it-sa.de/ it-sa] erhalten Sie Informationen zur OWASP und können sich fachlich austauschen.<br />
<br />
<br />
Sie finden uns am '''Stand 6-712''' ([http://www.it-sa.de/hallenplan-it-sa-2009/ Hallenplan])<br />
<br />
==== Infos für Sponsoren ====<br />
<br><br />
Es besteht die Möglichkeit zum Ausstellen und zum Logo-Sponsoring. [http://www.owasp.org/images/3/3d/OWASP_D_2009_SponsorenInfo_GHE_2009_08_19.pdf Infos für Sponsoren hier.]<br />
<br><br />
==== CfP (closed) ====<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete <br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungsframeworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
<br> '''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.''' <br />
<br />
<br> <br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br> <br />
<br />
=== Weitere Informationen ===<br />
<br />
*Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/ <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Kontakt: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision. <br />
<br />
<br> <br />
<br />
=== Topics of Interest ===<br />
<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security): <br />
<br />
*Technical talks with particular relevancy to practice. <br />
*Secure development frameworks and best practices <br />
*Security awareness programs for developers, testers, architects and business people <br />
*Security management of web based applications <br />
*Security management in outsourcing and off-shoring projects and operations <br />
*Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc. <br />
*OWASP in your enterprise or university <br />
*Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below). <br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc). <br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.''' <br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab. <br />
*Acceptance notification until 31st August, 2009. <br />
*Submission deadline for presentation slides (prefinal) 1st October, 2009 <br />
*'''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br> <br />
<br />
=== Additional information: ===<br />
<br />
*Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Contact: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<headertabs /></div>Thshttps://wiki.owasp.org/index.php?title=File:Template_OWASP_Germany_2009_Conference.ppt&diff=69669File:Template OWASP Germany 2009 Conference.ppt2009-09-23T18:57:21Z<p>Ths: </p>
<hr />
<div></div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=69667OWASP AppSec Germany 2009 Conference2009-09-23T17:01:48Z<p>Ths: /* Projektierung von Sicherheitsprüfungen von Webanwendungenen */</p>
<hr />
<div>__NOTOC__ <br />
<br />
[[Image:Germany.gif|right]]Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen. <br />
<br><br />
<br />
=== Sponsoren ===<br />
<br />
Wir danken unseren Sponsoren:<br />
<br />
<br />
{{Template:OWASP_Germany_2009_Sponsors}}<br />
<br />
<br><br />
<br />
==== Agenda ====<br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Montag, 12.10.09<br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 19:30-open end <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen. <br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen. <br />
<br />
--- Für das leibliche Wohl ist gesorgt. --- <br />
<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<br />
<br> <br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Dienstag, 13.10.09<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 08:30-09:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Registrierung und Kaffee<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:00-09:15 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Begrüßung'''<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:15-09:50 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Vorstellung des Open Web Application Security Project (OWASP) | '''Vorstellung des Open Web Application Security Project (OWASP)''']]<br />
<br />
''Dr. Boris Hemkemeier, OWASP German Chapter Board Member''<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:50-10:25<br> <br />
| align="left" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
[[#OWASP Education Project | '''OWASP Education Project''']]<br />
<br />
''Martin Knobloch'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:25-10:45 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:45-11:20<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Praktische Erfahrung mit dem Secure Software Lifecycle | '''Praktische Erfahrung mit dem Secure Software Lifecycle''']]<br />
<br />
''Dr. Bruce Sams, OptimaBit GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:20-11:55 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen | '''Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen''']]<br />
<br />
''Sebastian Schinzel, Virtual Forge'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:55-12:30<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Adaptive Sicherheit durch Anomalieerkennung | '''Adaptive Sicherheit durch Anomalieerkennung''']]<br />
<br />
''Patrick Hammer, AdNovum Informatik AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 12:30-13:30 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Mittagspause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 13:30-14:05 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Design Bugs | '''Design Bugs''']]<br />
<br />
''Alexios Fakos, n.runs AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:05-14:40 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#JavaScript from Hell - advanced client side injection techniques of tomorrow | '''JavaScript from Hell - advanced client side injection techniques of tomorrow''']]<br />
<br />
''Mario Heiderich'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:40-15:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:00-15:35 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Pentvorbereitung: Sitemap für Webanwendungen (Tools) | '''Pentvorbereitung: Sitemap für Webanwendungen (Tools)''']]<br />
<br />
''Achim Hoffmann, SecureNet GmbH''<br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:35-16:10 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Projektierung von Sicherheitsprüfungen von Webanwendungenen| '''Projektierung von Sicherheitsprüfungen von Webanwendungenen''']]<br />
<br />
''Tobias Glemser, Tele-Consulting GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 16:10-16:25 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Schlusswort'''<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''<br>''</div> <br />
<br><br />
<br />
== Die Vorträge im Einzelnen ==<br />
<br />
=== Vorstellung des Open Web Application Security Project (OWASP) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier ist Board Member des OWASP German Chapters. Er arbeitet als Principal Security Consultant bei der [http://www.commerzbank.de Commerzbank AG].<br />
<br />
=== OWASP Education Project ===<br />
:Die OWASP ist eine schier unerschöpfliche Quelle an Informationen zu fast allem, was die Sicherheit von Softwareanwendungen betrifft. Die Anzahl Projekte zu Tools und Dokumentationen wächst und wächst. Wo finde ich was zu welchem Thema? Was muss man und was sollte man wissen?<br />
<br />
:''Über Martin Knobloch''<br />
<br />
:Martin Knobloch ist Security Consultant bei Sogeti Nederland B.V., wo er die Arbeitsgruppe zur Anwendungssicherheit PaSS gegründet hat und leitet. Daneben ist Martin Mitglied des Niederländischen Chapter Board und trägt an meheren OWASP Projekten bei. Es ist Project Lead des OWASP Boot Camp, OWASP CTF, OWASP Speaker Project (Speaker Bureau) und OWASP Education Projekt. Martin ist aktives Mitglied des OWASP Global Education Committee.<br />
<br />
=== Praktische Erfahrung mit dem Secure Software Lifecycle ===<br />
:Fast 80% aller bekannten Sicherheitslücken haben ihren Ursprung in Anwendungen oder Infrastruktur-Komponenten wie zum Beispiel Web-Server und Application Server. Dies gilt für alle Arten von Software, egal ob selbstentwickelt, extern entwickelt, oder out-of-the-box-Standard-Software. Bekannte einzelne Maßnahmen wie Penetrationstests, Audits, Code-Reviews, usw. können helfen, aber sie müssen als Teile des "Secure Software Lifecycle" integriert werden, um am wirksamsten sein. <br />
<br />
:In dieser Präsentation erfahren Sie mehr über die effektivste Strategie für die Schaffung eines funktionierenden „Secure Software Lifecycle“. Die Beispiele sind aus der Praxis der Umsetzung des „Secure Software Lifecycle“ bei großen deutschen Unternehmen in den letzten Jahren. Sie werden sehen, wie man Kosten und Nutzen abschätzen kann und werden verstehen, wie die komplexen Puzzleteile zusammenpassen. Auf der Grundlage von konkreten Beispielen, erhalten Sie ein "Big Picture" der Sicherung der Software vor, während und nach der Entwicklung. <br />
<br />
:''Über Dr. Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel. <br />
<br />
=== Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen ===<br />
<br />
:Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers (WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die Entwicklung. <br />
<br />
: In diesem Vortrag stelle ich vor, wie man sichere Web-Anwendungen mit BSP bzw. Web Dynpro ABAP entwickelt. Ich zeige weiterhin, wie Entwickler gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting, SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man die Schwachstellen im Laufe eines Code Audits entdecken kann.<br />
<br />
:''Über Sebastian Schinzel''<br />
<br />
:Sebastian Schinzel ist seit mehr als sechs Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsanwendungen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsanwendungen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. Er ist Co-Autor des Buchs "Sichere ABAP-Programmierung" (SAP-Press 2009).<br />
<br />
=== Adaptive Sicherheit durch Anomalieerkennung ===<br />
<br />
:Weil die Funktionalität von Webapplikation stetig ausgebaut wird und zunehmend auch kritische Daten und Geschäftsprozesse damit gehandhabt werden, gehören Angriffe auf Webapplikationen zu den grössten aktuellen Sicherheitsproblemen. Zum Schutz vor solchen Bedrohungen kommen Web-Application-Firewalls (WAFs) zum Zuge. Aktuelle Komponenten setzen dabei auf ein Blacklist- oder Whitelist-Modell, welches mittels konfigurierbarer Regelsets durchgesetzt wird. Neuere Entwicklungen im Bereich von Whitelisting wie etwa URL- oder Form-Encryption figurieren auch unter dem Begriff “dynamisches Whitelisting”. Diesen Ansätzen sind diverse Grenzen gesetzt: Der Konfigurationsbedarf wird aufgrund der Komplexität heutiger Web-Anwendungen deutlich erhöht, Blacklist-Ansätze sind machtlos gegen “Zero-Day Exploits”, und sämtliche heutigen Ansätze greifen bei “Rich Internet Applications” (RIAs) und AJAX-Applikationen zu kurz. So auch dynamisches Whitelisting, welches mit JavaScript generierte URLs, Forms und Cookies nicht oder nur begrenzt handhaben kann.<br />
<br />
:Neue, innovative Techniken versprechen jedoch Abhilfe: So können mittels Anomalieerkennung Attacken auch ohne komplexe Konfiguration erkannt werden und mittels einer vertieften Analyse des Request- und Response-Bodys ist es möglich, RIAs zu schützen. Ein solcher Ansatz wird von AdNovum verfolgt und in dieser Session vorgestellt.<br />
<br />
:''Über Patrick Hammer''<br />
<br />
:folgt in Kürze<br />
<br />
=== Design Bugs ===<br />
<br />
:oder wenn aus einem Marketing oder Usability Feature ein Sicherproblem entsteht...<br />
:In dem Vortrag werden "unpopuläre" Fehler besprochen, die während der Design Phase eines Entwicklungszykluses zu erkennen sind und entsprechend behandelt werden können. Diese Probleme werden durch veröffentlichte Vorfälle belegt und erörtert.<br />
<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum führenden und herstellerunabhängigen deutschen IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
=== JavaScript from Hell - advanced client side injection techniques of tomorrow ===<br />
<br />
:Der Talk befasst sich mit dem Thema JavaScript im Kontext von Angriffen gegen Web-Applikationen, Malware und Überwindung von Filtern. Neben einem Überblick über bekannte Verschleierungstechniken für JavaScript Payload dreht sich der Talk ebenso um Verfahren verschleierten Code in Klartext umzuwandeln. Final wird das Thema Malware von morgen angesprochen - Verschleierungtechniken die sich nicht mehr ohne weiteres umkehren lassen, sich selbst verändernder Code und spezielle Verfahren zur Umgehung von Filtern in WAFs und anderen Defensiv-Systemen.<br />
<br />
:''Über Mario Heiderich''<br />
:Mario Heiderich ist derzeit wohnhaft in Köln, arbeitet als Freelancer im Bereich Websecurity für diverse deutsche und internationale Firmen und hat große Freude an der Firebug Konsole.<br />
<br />
=== Pentvorbereitung: Sitemap für Webanwendungen (Tools) ===<br />
<br />
:Um sich Klarheit über den Stand der Sicherheit einer Webanwendung zu verschaffen, ist ein -mehr oder weniger umfassender- Penetrationstest geeigent, manchmal sogar unumgänglich. Ein Penetrationstest kann wichtige Erkenntnisse über vohandene Schwachstellen liefern. Je nach Schutzbedarf der Anwendung und dem Risiko, das die Schwachstellen bieten, kann eine Kosten-Nutzen-Abwägung erfolgen, um die Schwachstellen ggf. zu beheben.<br />
:Bei der Projektierung eines Penetrationstests stellt sich für Auftraggeber und Pentester die Frage, "was" und "wieviel" denn zu testen ist. Bei umfangreichen Anwendungen ist es daher notwendig, ein Profil des Testgegenstandes zu erstellen. Daraus ergibt sich zum einen der Testumfang (Quantität) und zum anderen die eigentlichen Testpunkte (Qualität) - und damit insgesamt auch die Kosten.<br />
:In diesem Beitrag werden für die vermeintlich einfache Aufgabe: "Profil (Sitemap) erstellen" zum einen die Schwierigkeiten beschrieben, die damit verbunden sind, und zum anderen Tools, die dabei unterstützend eingesetzt werden können.<br />
<br />
:''Über Achim Hoffmann''<br />
:Achim Hoffmann arbeitet als Senior Netzwerk und Security Consultant bei der [http://www.securenet.de/ SecureNet GmbH].<br />
<br />
=== Projektierung von Sicherheitsprüfungen von Webanwendungenen ===<br />
<br />
:Die Prüfung der Sicherheit von Webanwendungen wird mittlerweile von vielen Unternehmen als erforderlicher Schritt anerkannt. Insbesondere für die erstmalige Prüfung ist es für den Betreiber von Webanwendungen schwierig, ein entsprechendes Projekt aufzusetzen. Es gilt, zum einen den Projektfokus sauber zu definieren, um eine Vergleichbarkeit von Angeboten zu erzielen und zum anderen die Expertise der Dienstleister möglichst transparent bewerten zu können. <br />
<br />
:Ziel dieses nicht-technischen Whitepapers ist die Darstellung von transparenten Methoden, um die Projektierung einer solchen Prüfung zu ermöglichen und den geeigneten Dienstleister zu finden. Am Whitepaper beteiligt sind sowohl Endkunden, als auch mehrere Dienstleister, so dass ein generisches Dokument entwickelt werden konnte.<br />
<br />
:''Über Tobias Glemser''<br />
<br />
:Tobias Glemser beschäftigt sich seit dem Jahr 2000 mit der Planung und Durchführung von Penetrationstests auf Web-Anwendungen. Er ist leitender IT-Sicherheitsberater bei der [http://www.tele-consulting.com Tele-Consulting security networking training GmbH].<br />
<br />
==== Veranstaltungsort ====<br />
<br />
=== Konferenzort ===<br />
CCN Ost CongressCenter Nürnberg<br />
<br />
Messezentrum<br />
<br />
90471 Nürnberg<br />
<br />
[http://www.congressing.de www.congressing.de]<br />
<br />
=== Vorträge ===<br />
<br />
Ebene 3, '''Raum Shanghai''' <br />
<br />
Das Come Together in den Pausen und die Ausstellung finden in der Galerie vor dem Raum Shanghai und dem Foyer Shanghai/Seoul statt.<br />
<br />
=== Anreise ===<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/auto/ Anreise mit dem Auto]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/bahn/ Anreise mit der Bahn und dem Öffentlichen Nahverkehr]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/flugzeug/ Anreise mit dem Flugzeug]<br />
<br />
=== NürnbergMOBIL ===<br />
<br />
'''[http://www.nuernbergmobil.de NürnbergMOBIL]''' bietet Informationen zu sämtlichen Verkehrsverbindungen, dem Stadtgeschehen und rund um den Tourismus in Nürnberg<br />
<br />
==== Vorabendveranstaltung ====<br />
<br><br />
<br />
Zwischen 19:30 und 20:00 Uhr geht es am Vorabend, dem 12.10.09, los! Alle Teilnehmer sind zum Kennenlernen, Erfahrungsaustausch, Kontakteknüpfen in lockerer Atmosphäre eingeladen (Bitte auf dem Anmeldeformular entsprechend vermerken). Für das leibliche Wohl ist gesorgt.<br />
<br />
<br />
'''Restaurant Steichele'''<br />
<br />
Knorrstraße 2-8 <br />
<br />
90402 Nürnberg <br />
<br />
Telefon: +49 (0) 911 20 22 8-0 <br />
Telefax: +49 (0) 911 22 19 14 <br />
<br />
<br />
[http://www.steichele.de Link zum Restaurant]<br />
<br />
[http://www.steichele.de/dokumente/wegbeschreibung_STEICHELE.pdf Anreise zum Restauant (pdf)]<br />
<br />
<br />
==== Anmeldung und Preise ====<br />
<br />
<br><br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
<br><br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br><br />
Auf dem OWASP-Stand der [http://www.it-sa.de/ it-sa] erhalten Sie Informationen zur OWASP und können sich fachlich austauschen.<br />
<br />
<br />
Sie finden uns am '''Stand 6-712''' ([http://www.it-sa.de/hallenplan-it-sa-2009/ Hallenplan])<br />
<br />
==== Infos für Sponsoren ====<br />
<br><br />
Es besteht die Möglichkeit zum Ausstellen und zum Logo-Sponsoring. [http://www.owasp.org/images/3/3d/OWASP_D_2009_SponsorenInfo_GHE_2009_08_19.pdf Infos für Sponsoren hier.]<br />
<br><br />
==== CfP (closed) ====<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete <br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungsframeworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
<br> '''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.''' <br />
<br />
<br> <br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br> <br />
<br />
=== Weitere Informationen ===<br />
<br />
*Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/ <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Kontakt: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision. <br />
<br />
<br> <br />
<br />
=== Topics of Interest ===<br />
<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security): <br />
<br />
*Technical talks with particular relevancy to practice. <br />
*Secure development frameworks and best practices <br />
*Security awareness programs for developers, testers, architects and business people <br />
*Security management of web based applications <br />
*Security management in outsourcing and off-shoring projects and operations <br />
*Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc. <br />
*OWASP in your enterprise or university <br />
*Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below). <br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc). <br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.''' <br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab. <br />
*Acceptance notification until 31st August, 2009. <br />
*Submission deadline for presentation slides (prefinal) 1st October, 2009 <br />
*'''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br> <br />
<br />
=== Additional information: ===<br />
<br />
*Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Contact: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<headertabs /></div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=69655OWASP AppSec Germany 2009 Conference2009-09-23T12:41:04Z<p>Ths: /* Die Vorträge im Einzelnen */</p>
<hr />
<div>__NOTOC__ <br />
<br />
[[Image:Germany.gif|right]]Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen. <br />
<br><br />
<br />
=== Sponsoren ===<br />
<br />
Wir danken unseren Sponsoren:<br />
<br />
<br />
{{Template:OWASP_Germany_2009_Sponsors}}<br />
<br />
<br><br />
<br />
==== Agenda ====<br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Montag, 12.10.09<br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 19:30-open end <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen. <br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen. <br />
<br />
--- Für das leibliche Wohl ist gesorgt. --- <br />
<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<br />
<br> <br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Dienstag, 13.10.09<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 08:30-09:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Registrierung und Kaffee<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:00-09:15 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Begrüßung'''<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:15-09:50 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Vorstellung des Open Web Application Security Project (OWASP) | '''Vorstellung des Open Web Application Security Project (OWASP)''']]<br />
<br />
''Dr. Boris Hemkemeier, OWASP German Chapter Board Member''<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:50-10:25<br> <br />
| align="left" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
[[#OWASP Education Project | '''OWASP Education Project''']]<br />
<br />
''Martin Knobloch'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:25-10:45 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:45-11:20<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Praktische Erfahrung mit dem Secure Software Lifecycle | '''Praktische Erfahrung mit dem Secure Software Lifecycle''']]<br />
<br />
''Dr. Bruce Sams, OptimaBit GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:20-11:55 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen | '''Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen''']]<br />
<br />
''Sebastian Schinzel, Virtual Forge'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:55-12:30<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Adaptive Sicherheit durch Anomalieerkennung | '''Adaptive Sicherheit durch Anomalieerkennung''']]<br />
<br />
''Patrick Hammer, AdNovum Informatik AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 12:30-13:30 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Mittagspause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 13:30-14:05 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Design Bugs | '''Design Bugs''']]<br />
<br />
''Alexios Fakos, n.runs AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:05-14:40 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#JavaScript from Hell - advanced client side injection techniques of tomorrow | '''JavaScript from Hell - advanced client side injection techniques of tomorrow''']]<br />
<br />
''Mario Heiderich'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:40-15:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:00-15:35 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Pentesting: Sitemap für Webanwendungen (Tools) | '''Pentesting: Sitemap für Webanwendungen (Tools)''']]<br />
<br />
''Achim Hoffmann, SecureNet GmbH''<br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:35-16:10 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Projektierung von Sicherheitsprüfungen von Web Applikationen | '''Projektierung von Sicherheitsprüfungen von Web Applikationen''']]<br />
<br />
''Tobias Glemser, Tele-Consulting GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 16:10-16:25 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Schlusswort'''<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''<br>''</div> <br />
<br><br />
<br />
== Die Vorträge im Einzelnen ==<br />
<br />
=== Vorstellung des Open Web Application Security Project (OWASP) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier ist Board Member des OWASP German Chapters. Er arbeitet als Principal Security Consultant bei der [http://www.commerzbank.de Commerzbank AG].<br />
<br />
=== OWASP Education Project ===<br />
:Die OWASP ist eine schier unerschöpfliche Quelle an Informationen zu fast allem, was die Sicherheit von Softwareanwendungen betrifft. Die Anzahl Projekte zu Tools und Dokumentationen wächst und wächst. Wo finde ich was zu welchem Thema? Was muss man und was sollte man wissen?<br />
<br />
:''Über Martin Knobloch''<br />
<br />
:Martin Knobloch ist Security Consultant bei Sogeti Nederland B.V., wo er die Arbeitsgruppe zur Anwendungssicherheit PaSS gegründet hat und leitet. Daneben ist Martin Mitglied des Niederländischen Chapter Board und trägt an meheren OWASP Projekten bei. Es ist Project Lead des OWASP Boot Camp, OWASP CTF, OWASP Speaker Project (Speaker Bureau) und OWASP Education Projekt. Martin ist aktives Mitglied des OWASP Global Education Committee.<br />
<br />
=== Praktische Erfahrung mit dem Secure Software Lifecycle ===<br />
:Fast 80% aller bekannten Sicherheitslücken haben ihren Ursprung in Anwendungen oder Infrastruktur-Komponenten wie zum Beispiel Web-Server und Application Server. Dies gilt für alle Arten von Software, egal ob selbstentwickelt, extern entwickelt, oder out-of-the-box-Standard-Software. Bekannte einzelne Maßnahmen wie Penetrationstests, Audits, Code-Reviews, usw. können helfen, aber sie müssen als Teile des "Secure Software Lifecycle" integriert werden, um am wirksamsten sein. <br />
<br />
:In dieser Präsentation erfahren Sie mehr über die effektivste Strategie für die Schaffung eines funktionierenden „Secure Software Lifecycle“. Die Beispiele sind aus der Praxis der Umsetzung des „Secure Software Lifecycle“ bei großen deutschen Unternehmen in den letzten Jahren. Sie werden sehen, wie man Kosten und Nutzen abschätzen kann und werden verstehen, wie die komplexen Puzzleteile zusammenpassen. Auf der Grundlage von konkreten Beispielen, erhalten Sie ein "Big Picture" der Sicherung der Software vor, während und nach der Entwicklung. <br />
<br />
:''Über Dr. Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel. <br />
<br />
=== Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen ===<br />
<br />
:Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers (WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die Entwicklung. <br />
<br />
: In diesem Vortrag stelle ich vor, wie man sichere Web-Anwendungen mit BSP bzw. Web Dynpro ABAP entwickelt. Ich zeige weiterhin, wie Entwickler gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting, SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man die Schwachstellen im Laufe eines Code Audits entdecken kann.<br />
<br />
:''Über Sebastian Schinzel''<br />
<br />
:Sebastian Schinzel ist seit mehr als sechs Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsanwendungen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsanwendungen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. Er ist Co-Autor des Buchs "Sichere ABAP-Programmierung" (SAP-Press 2009).<br />
<br />
=== Adaptive Sicherheit durch Anomalieerkennung ===<br />
<br />
:Weil die Funktionalität von Webapplikation stetig ausgebaut wird und zunehmend auch kritische Daten und Geschäftsprozesse damit gehandhabt werden, gehören Angriffe auf Webapplikationen zu den grössten aktuellen Sicherheitsproblemen. Zum Schutz vor solchen Bedrohungen kommen Web-Application-Firewalls (WAFs) zum Zuge. Aktuelle Komponenten setzen dabei auf ein Blacklist- oder Whitelist-Modell, welches mittels konfigurierbarer Regelsets durchgesetzt wird. Neuere Entwicklungen im Bereich von Whitelisting wie etwa URL- oder Form-Encryption figurieren auch unter dem Begriff “dynamisches Whitelisting”. Diesen Ansätzen sind diverse Grenzen gesetzt: Der Konfigurationsbedarf wird aufgrund der Komplexität heutiger Web-Anwendungen deutlich erhöht, Blacklist-Ansätze sind machtlos gegen “Zero-Day Exploits”, und sämtliche heutigen Ansätze greifen bei “Rich Internet Applications” (RIAs) und AJAX-Applikationen zu kurz. So auch dynamisches Whitelisting, welches mit JavaScript generierte URLs, Forms und Cookies nicht oder nur begrenzt handhaben kann.<br />
<br />
:Neue, innovative Techniken versprechen jedoch Abhilfe: So können mittels Anomalieerkennung Attacken auch ohne komplexe Konfiguration erkannt werden und mittels einer vertieften Analyse des Request- und Response-Bodys ist es möglich, RIAs zu schützen. Ein solcher Ansatz wird von AdNovum verfolgt und in dieser Session vorgestellt.<br />
<br />
:''Über Patrick Hammer''<br />
<br />
:folgt in Kürze<br />
<br />
=== Design Bugs ===<br />
<br />
:oder wenn aus einem Marketing oder Usability Feature ein Sicherproblem entsteht...<br />
:In dem Vortrag werden "unpopuläre" Fehler besprochen, die während der Design Phase eines Entwicklungszykluses zu erkennen sind und entsprechend behandelt werden können. Diese Probleme werden durch veröffentlichte Vorfälle belegt und erörtert.<br />
<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum führenden und herstellerunabhängigen deutschen IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
=== JavaScript from Hell - advanced client side injection techniques of tomorrow ===<br />
<br />
:Der Talk befasst sich mit dem Thema JavaScript im Kontext von Angriffen gegen Web-Applikationen, Malware und Überwindung von Filtern. Neben einem Überblick über bekannte Verschleierungstechniken für JavaScript Payload dreht sich der Talk ebenso um Verfahren verschleierten Code in Klartext umzuwandeln. Final wird das Thema Malware von morgen angesprochen - Verschleierungtechniken die sich nicht mehr ohne weiteres umkehren lassen, sich selbst verändernder Code und spezielle Verfahren zur Umgehung von Filtern in WAFs und anderen Defensiv-Systemen.<br />
<br />
:''Über Mario Heiderich''<br />
:Mario Heiderich ist derzeit wohnhaft in Köln, arbeitet als Freelancer im Bereich Websecurity für diverse deutsche und internationale Firmen und hat große Freude an der Firebug Konsole.<br />
<br />
=== Pentesting: Sitemap für Webanwendungen (Tools) ===<br />
<br />
:Um sich Klarheit über den Stand der Sicherheit der Webanwendung zu verschaffen, ist ein -mehr oder weniger umfassender- Penetrationstest geeigent, u. U. sogar unumgänglich. Ein Penetrationstest kann wichtige Erkenntnisse über vohandene Schwachstellen liefern. Je nach Schutzbedarf der Anwendung und dem Risiko, das die Schwachstellen bieten, kann dann eine Kosten-Nutzen-Abwägung erfolgen,um die Schwachstellen zu beheben.<br />
:Bei der Projektierung eines Penetrationstests stellt sich für Auftraggeber und Pentester die Frage, "was" und "wieviel" denn zu testen ist. Bei umfangreichen Tests ist es daher unumgänglich, dass ein Profil des Testgegenstandes erstellt wird, aus dem zum Einen der Testumfang -und damit auch die Kosten- und zum Anderen die eigentlichen Testpunkte ersichtlich werden.<br />
:In diesem Beitrag werden die Schwierigkeiten beschrieben, die mit dieser vermeintlich einfachen Aufgabe: Profil (Sitemap) erstellen, verbunden sein können, sowie Tools die dabei behilflich sein können.<br />
<br />
:''Über Achim Hoffmann''<br />
:Achim Hoffmann arbeitet als Senior Netzwerk und Security Consultant bei der [http://www.securenet.de/ SecureNet GmbH].<br />
<br />
=== Projektierung von Sicherheitsprüfungen von Web Applikationen ===<br />
<br />
:Die Prüfung der Sicherheit von Webanwendungen wird mittlerweile von vielen Unternehmen als erforderlicher Schritt anerkannt. Insbesondere für die erstmalige Prüfung ist es für den Betreiber von Webanwendungen schwierig, ein entsprechendes Projekt aufzusetzen. Es gilt, zum einen den Projektfokus sauber zu definieren, um eine Vergleichbarkeit von Angeboten zu erzielen und zum anderen die Expertise der Dienstleister möglichst transparent bewerten zu können. <br />
<br />
:Ziel dieses nicht-technischen Whitepapers ist die Darstellung von transparenten Methoden, um die Projektierung einer solchen Prüfung zu ermöglichen und den geeigneten Dienstleister zu finden. Am Whitepaper beteiligt sind sowohl Endkunden, als auch mehrere Dienstleister, so dass ein generisches Dokument entwickelt werden konnte.<br />
<br />
:''Über Tobias Glemser''<br />
<br />
: folgt in Kürze<br />
<br />
<br />
==== Veranstaltungsort ====<br />
<br />
=== Konferenzort ===<br />
CCN Ost CongressCenter Nürnberg<br />
<br />
Messezentrum<br />
<br />
90471 Nürnberg<br />
<br />
[http://www.congressing.de www.congressing.de]<br />
<br />
=== Vorträge ===<br />
<br />
Ebene 3, '''Raum Shanghai''' <br />
<br />
Das Come Together in den Pausen und die Ausstellung finden in der Galerie vor dem Raum Shanghai und dem Foyer Shanghai/Seoul statt.<br />
<br />
=== Anreise ===<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/auto/ Anreise mit dem Auto]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/bahn/ Anreise mit der Bahn und dem Öffentlichen Nahverkehr]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/flugzeug/ Anreise mit dem Flugzeug]<br />
<br />
=== NürnbergMOBIL ===<br />
<br />
'''[http://www.nuernbergmobil.de NürnbergMOBIL]''' bietet Informationen zu sämtlichen Verkehrsverbindungen, dem Stadtgeschehen und rund um den Tourismus in Nürnberg<br />
<br />
==== Vorabendveranstaltung ====<br />
<br><br />
<br />
Zwischen 19:30 und 20:00 Uhr geht es am Vorabend, dem 12.10.09, los! Alle Teilnehmer sind zum Kennenlernen, Erfahrungsaustausch, Kontakteknüpfen in lockerer Atmosphäre eingeladen (Bitte auf dem Anmeldeformular entsprechend vermerken). Für das leibliche Wohl ist gesorgt.<br />
<br />
<br />
'''Restaurant Steichele'''<br />
<br />
Knorrstraße 2-8 <br />
<br />
90402 Nürnberg <br />
<br />
Telefon: +49 (0) 911 20 22 8-0 <br />
Telefax: +49 (0) 911 22 19 14 <br />
<br />
<br />
[http://www.steichele.de Link zum Restaurant]<br />
<br />
[http://www.steichele.de/dokumente/wegbeschreibung_STEICHELE.pdf Anreise zum Restauant (pdf)]<br />
<br />
<br />
==== Anmeldung und Preise ====<br />
<br />
<br><br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
<br><br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br><br />
Auf dem OWASP-Stand der [http://www.it-sa.de/ it-sa] erhalten Sie Informationen zur OWASP und können sich fachlich austauschen.<br />
<br />
<br />
Sie finden uns am '''Stand 6-712''' ([http://www.it-sa.de/hallenplan-it-sa-2009/ Hallenplan])<br />
<br />
==== Infos für Sponsoren ====<br />
<br><br />
Es besteht die Möglichkeit zum Ausstellen und zum Logo-Sponsoring. [http://www.owasp.org/images/3/3d/OWASP_D_2009_SponsorenInfo_GHE_2009_08_19.pdf Infos für Sponsoren hier.]<br />
<br><br />
==== CfP (closed) ====<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete <br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungsframeworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
<br> '''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.''' <br />
<br />
<br> <br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br> <br />
<br />
=== Weitere Informationen ===<br />
<br />
*Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/ <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Kontakt: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision. <br />
<br />
<br> <br />
<br />
=== Topics of Interest ===<br />
<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security): <br />
<br />
*Technical talks with particular relevancy to practice. <br />
*Secure development frameworks and best practices <br />
*Security awareness programs for developers, testers, architects and business people <br />
*Security management of web based applications <br />
*Security management in outsourcing and off-shoring projects and operations <br />
*Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc. <br />
*OWASP in your enterprise or university <br />
*Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below). <br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc). <br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.''' <br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab. <br />
*Acceptance notification until 31st August, 2009. <br />
*Submission deadline for presentation slides (prefinal) 1st October, 2009 <br />
*'''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br> <br />
<br />
=== Additional information: ===<br />
<br />
*Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Contact: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<headertabs /></div>Thshttps://wiki.owasp.org/index.php?title=Template:OWASP_Germany_2009_Sponsors&diff=69264Template:OWASP Germany 2009 Sponsors2009-09-18T12:05:06Z<p>Ths: </p>
<hr />
<div>{| <br />
|-<br />
| &nbsp;&nbsp; <br />
| &nbsp;&nbsp;&nbsp;&nbsp;[http://www.artofdefence.com/ http://www.owasp.org/images/0/08/Aod.png]<br />
| &nbsp;&nbsp;&nbsp;&nbsp;[http://www.carmao.eu/ http://www.owasp.org/images/5/51/Carmao.png]<br />
| &nbsp;&nbsp;&nbsp;&nbsp;[http://www.imperva.com/ http://www.owasp.org/images/d/de/Imperva_2color_RGB.jpg]<br />
| &nbsp;&nbsp;&nbsp;&nbsp;<br />
|-<br />
| &nbsp;&nbsp;&nbsp;&nbsp;<br />
|}</div>Thshttps://wiki.owasp.org/index.php?title=Template:OWASP_Germany_2009_Sponsors&diff=69262Template:OWASP Germany 2009 Sponsors2009-09-18T10:53:59Z<p>Ths: </p>
<hr />
<div>{| <br />
|-<br />
| &nbsp;&nbsp; <br />
| &nbsp;&nbsp;&nbsp;&nbsp;[http://www.carmao.eu/ http://www.owasp.org/images/5/51/Carmao.png]<br />
| &nbsp;&nbsp;&nbsp;&nbsp;[http://www.artofdefence.com/ http://www.owasp.org/images/0/08/Aod.png]<br />
| &nbsp;&nbsp;&nbsp;&nbsp;<br />
| &nbsp;&nbsp;&nbsp;&nbsp;<br />
|-<br />
| &nbsp;&nbsp;&nbsp;&nbsp;<br />
|}</div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=69250OWASP AppSec Germany 2009 Conference2009-09-18T01:12:18Z<p>Ths: </p>
<hr />
<div>__NOTOC__ <br />
<br />
[[Image:Germany.gif|right]]Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen. <br />
<br><br />
<br />
=== Sponsoren ===<br />
<br />
Wir danken unseren Sponsoren:<br />
<br />
<br />
{{Template:OWASP_Germany_2009_Sponsors}}<br />
<br />
<br><br />
<br />
==== Agenda ====<br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Montag, 12.10.09<br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 19:30-open end <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen. <br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen. <br />
<br />
--- Für das leibliche Wohl ist gesorgt. --- <br />
<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<br />
<br> <br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Dienstag, 13.10.09<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 08:30-09:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Registrierung und Kaffee<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:00-09:15 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Begrüßung'''<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:15-09:50 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Vorstellung des Open Web Application Security Project (OWASP) | '''Vorstellung des Open Web Application Security Project (OWASP)''']]<br />
<br />
''Dr. Boris Hemkemeier, Commerzbank''<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:50-10:25<br> <br />
| align="left" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
[[#OWASP Education Project | '''OWASP Education Project''']]<br />
<br />
''Martin Knobloch'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:25-10:45 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:45-11:20<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Praktische Erfahrung mit dem Secure Software Lifecycle | '''Praktische Erfahrung mit dem Secure Software Lifecycle''']]<br />
<br />
''Dr. Bruce Sams, OptimaBit GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:20-11:55 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen | '''Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen''']]<br />
<br />
''Sebastian Schinzel, Virtual Forge'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:55-12:30<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Adaptive Sicherheit durch Anomalieerkennung | '''Adaptive Sicherheit durch Anomalieerkennung''']]<br />
<br />
''Patrick Hammer, AdNovum Informatik AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 12:30-13:30 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Mittagspause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 13:30-14:05 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Design Bugs | '''Design Bugs''']]<br />
<br />
''Alexios Fakos, n.runs AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:05-14:40 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#JavaScript from Hell - advanced client side injection techniques of tomorrow | '''JavaScript from Hell - advanced client side injection techniques of tomorrow''']]<br />
<br />
''Mario Heiderich'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:40-15:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:00-15:35 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Pentesting: Sitemap für Webanwendungen (Tools) | '''Pentesting: Sitemap für Webanwendungen (Tools)''']]<br />
<br />
''Achim Hoffmann, SecureNet GmbH''<br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:35-16:10 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Projektierung von Sicherheitsprüfungen von Web Applikationen | '''Projektierung von Sicherheitsprüfungen von Web Applikationen''']]<br />
<br />
''Tobias Glemser, Tele-Consulting GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 16:10-16:25 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Schlusswort'''<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''<br>''</div> <br />
<br><br />
<br />
== Die Vorträge im Einzelnen ==<br />
<br />
=== Vorstellung des Open Web Application Security Project (OWASP) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier arbeitet als Senior Security Consultant bei der [http://www.commerzbank.de Commerzbank AG] und ist Board Member des German OWASP Chapters.<br />
<br />
=== OWASP Education Project ===<br />
:Die OWASP ist eine schier unerschöpfliche Quelle an Informationen zu fast allem, was die Sicherheit von Softwareanwendungen betrifft. Die Anzahl Projekte zu Tools und Dokumentationen wächst und wächst. Wo finde ich was zu welchem Thema? Was muss man und was sollte man wissen?<br />
<br />
:''Über Martin Knobloch''<br />
<br />
:Martin Knobloch ist Security Consultant bei Sogeti Nederland B.V., wo er die Arbeitsgruppe zur Anwendungssicherheit PaSS gegründet hat und leitet. Daneben ist Martin Mitglied des Niederländischen Chapter Board und trägt an meheren OWASP Projekten bei. Es ist Project Lead des OWASP Boot Camp, OWASP CTF, OWASP Speaker Project (Speaker Bureau) und OWASP Education Projekt. Martin ist aktives Mitglied des OWASP Global Education Committee.<br />
<br />
=== Praktische Erfahrung mit dem Secure Software Lifecycle ===<br />
:Fast 80% aller bekannten Sicherheitslücken haben ihren Ursprung in Anwendungen oder Infrastruktur-Komponenten wie zum Beispiel Web-Server und Application Server. Dies gilt für alle Arten von Software, egal ob selbstentwickelt, extern entwickelt, oder out-of-the-box-Standard-Software. Bekannte einzelne Maßnahmen wie Penetrationstests, Audits, Code-Reviews, usw. können helfen, aber sie müssen als Teile des "Secure Software Lifecycle" integriert werden, um am wirksamsten sein. <br />
<br />
:In dieser Präsentation erfahren Sie mehr über die effektivste Strategie für die Schaffung eines funktionierenden „Secure Software Lifecycle“. Die Beispiele sind aus der Praxis der Umsetzung des „Secure Software Lifecycle“ bei großen deutschen Unternehmen in den letzten Jahren. Sie werden sehen, wie man Kosten und Nutzen abschätzen kann und werden verstehen, wie die komplexen Puzzleteile zusammenpassen. Auf der Grundlage von konkreten Beispielen, erhalten Sie ein "Big Picture" der Sicherung der Software vor, während und nach der Entwicklung. <br />
<br />
:''Über Dr. Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel. <br />
<br />
=== Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen ===<br />
<br />
:Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers (WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die Entwicklung. <br />
<br />
: In diesem Vortrag stelle ich vor, wie man sichere Web-Anwendungen mit BSP bzw. Web Dynpro ABAP entwickelt. Ich zeige weiterhin, wie Entwickler gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting, SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man die Schwachstellen im Laufe eines Code Audits entdecken kann.<br />
<br />
:''Über Sebastian Schinzel''<br />
<br />
:Sebastian Schinzel ist seit mehr als sechs Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsanwendungen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsanwendungen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. Er ist Co-Autor des Buchs "Sichere ABAP-Programmierung" (SAP-Press 2009).<br />
<br />
=== Adaptive Sicherheit durch Anomalieerkennung ===<br />
<br />
:Weil die Funktionalität von Webapplikation stetig ausgebaut wird und zunehmend auch kritische Daten und Geschäftsprozesse damit gehandhabt werden, gehören Angriffe auf Webapplikationen zu den grössten aktuellen Sicherheitsproblemen. Zum Schutz vor solchen Bedrohungen kommen Web-Application-Firewalls (WAFs) zum Zuge. Aktuelle Komponenten setzen dabei auf ein Blacklist- oder Whitelist-Modell, welches mittels konfigurierbarer Regelsets durchgesetzt wird. Neuere Entwicklungen im Bereich von Whitelisting wie etwa URL- oder Form-Encryption figurieren auch unter dem Begriff “dynamisches Whitelisting”. Diesen Ansätzen sind diverse Grenzen gesetzt: Der Konfigurationsbedarf wird aufgrund der Komplexität heutiger Web-Anwendungen deutlich erhöht, Blacklist-Ansätze sind machtlos gegen “Zero-Day Exploits”, und sämtliche heutigen Ansätze greifen bei “Rich Internet Applications” (RIAs) und AJAX-Applikationen zu kurz. So auch dynamisches Whitelisting, welches mit JavaScript generierte URLs, Forms und Cookies nicht oder nur begrenzt handhaben kann.<br />
<br />
:Neue, innovative Techniken versprechen jedoch Abhilfe: So können mittels Anomalieerkennung Attacken auch ohne komplexe Konfiguration erkannt werden und mittels einer vertieften Analyse des Request- und Response-Bodys ist es möglich, RIAs zu schützen. Ein solcher Ansatz wird von AdNovum verfolgt und in dieser Session vorgestellt.<br />
<br />
:''Über Patrick Hammer''<br />
<br />
:folgt in Kürze<br />
<br />
=== Design Bugs ===<br />
<br />
:oder wenn aus einem Marketing oder Usability Feature ein Sicherproblem entsteht...<br />
:In dem Vortrag werden "unpopuläre" Fehler besprochen, die während der Design Phase eines Entwicklungszykluses zu erkennen sind und entsprechend behandelt werden können. Diese Probleme werden durch veröffentlichte Vorfälle belegt und erörtert.<br />
<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum führenden und herstellerunabhängigen deutschen IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
=== JavaScript from Hell - advanced client side injection techniques of tomorrow ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Mario Heiderich''<br />
<br />
:folgt in Kürze <br />
<br />
=== Pentesting: Sitemap für Webanwendungen (Tools) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Achim Hoffmann''<br />
<br />
: folgt in Kürze<br />
<br />
=== Projektierung von Sicherheitsprüfungen von Web Applikationen ===<br />
<br />
:Die Prüfung der Sicherheit von Webanwendungen wird mittlerweile von vielen Unternehmen als erforderlicher Schritt anerkannt. Insbesondere für die erstmalige Prüfung ist es für den Betreiber von Webanwendungen schwierig, ein entsprechendes Projekt aufzusetzen. Es gilt, zum einen den Projektfokus sauber zu definieren, um eine Vergleichbarkeit von Angeboten zu erzielen und zum anderen die Expertise der Dienstleister möglichst transparent bewerten zu können. <br />
<br />
:Ziel dieses nicht-technischen Whitepapers ist die Darstellung von transparenten Methoden, um die Projektierung einer solchen Prüfung zu ermöglichen und den geeigneten Dienstleister zu finden. Am Whitepaper beteiligt sind sowohl Endkunden, als auch mehrere Dienstleister, so dass ein generisches Dokument entwickelt werden konnte.<br />
<br />
:''Über Tobias Glemser''<br />
<br />
: folgt in Kürze<br />
<br />
<br />
==== Veranstaltungsort ====<br />
<br />
=== Konferenzort ===<br />
CCN Ost CongressCenter Nürnberg<br />
<br />
Messezentrum<br />
<br />
90471 Nürnberg<br />
<br />
[http://www.congressing.de www.congressing.de]<br />
<br />
=== Vorträge ===<br />
<br />
Ebene 3, '''Raum Shanghai''' <br />
<br />
Das Come Together in den Pausen und die Ausstellung finden in der Galerie vor dem Raum Shanghai und dem Foyer Shanghai/Seoul statt.<br />
<br />
=== Anreise ===<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/auto/ Anreise mit dem Auto]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/bahn/ Anreise mit der Bahn und dem Öffentlichen Nahverkehr]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/flugzeug/ Anreise mit dem Flugzeug]<br />
<br />
=== NürnbergMOBIL ===<br />
<br />
'''[http://www.nuernbergmobil.de NürnbergMOBIL]''' bietet Informationen zu sämtlichen Verkehrsverbindungen, dem Stadtgeschehen und rund um den Tourismus in Nürnberg<br />
<br />
==== Vorabendveranstaltung ====<br />
<br><br />
<br />
Zwischen 19:30 und 20:00 Uhr geht es am Vorabend, dem 12.10.09, los! Alle Teilnehmer sind zum Kennenlernen, Erfahrungsaustausch, Kontakteknüpfen in lockerer Atmosphäre eingeladen (Bitte auf dem Anmeldeformular entsprechend vermerken). Für das leibliche Wohl ist gesorgt.<br />
<br />
<br />
'''Restaurant Steichele'''<br />
<br />
Knorrstraße 2-8 <br />
<br />
90402 Nürnberg <br />
<br />
Telefon: +49 (0) 911 20 22 8-0 <br />
Telefax: +49 (0) 911 22 19 14 <br />
<br />
<br />
[http://www.steichele.de Link zum Restaurant]<br />
<br />
[http://www.steichele.de/dokumente/wegbeschreibung_STEICHELE.pdf Anreise zum Restauant (pdf)]<br />
<br />
<br />
==== Anmeldung und Preise ====<br />
<br />
<br><br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
<br><br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br><br />
Auf dem OWASP-Stand der [http://www.it-sa.de/ it-sa] erhalten Sie Informationen zur OWASP und können sich fachlich austauschen.<br />
<br />
<br />
Sie finden uns am '''Stand 6-712''' ([http://www.it-sa.de/hallenplan-it-sa-2009/ Hallenplan])<br />
<br />
==== Infos für Sponsoren ====<br />
<br><br />
Es besteht die Möglichkeit zum Ausstellen und zum Logo-Sponsoring. [http://www.owasp.org/images/3/3d/OWASP_D_2009_SponsorenInfo_GHE_2009_08_19.pdf Infos für Sponsoren hier.]<br />
<br><br />
==== CfP (closed) ====<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete <br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungsframeworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
<br> '''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.''' <br />
<br />
<br> <br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br> <br />
<br />
=== Weitere Informationen ===<br />
<br />
*Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/ <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Kontakt: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision. <br />
<br />
<br> <br />
<br />
=== Topics of Interest ===<br />
<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security): <br />
<br />
*Technical talks with particular relevancy to practice. <br />
*Secure development frameworks and best practices <br />
*Security awareness programs for developers, testers, architects and business people <br />
*Security management of web based applications <br />
*Security management in outsourcing and off-shoring projects and operations <br />
*Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc. <br />
*OWASP in your enterprise or university <br />
*Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below). <br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc). <br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.''' <br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab. <br />
*Acceptance notification until 31st August, 2009. <br />
*Submission deadline for presentation slides (prefinal) 1st October, 2009 <br />
*'''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br> <br />
<br />
=== Additional information: ===<br />
<br />
*Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Contact: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<headertabs /></div>Thshttps://wiki.owasp.org/index.php?title=File:OWASP_D_2009_SponsorenInfo_GHE_2009_08_19.pdf&diff=69249File:OWASP D 2009 SponsorenInfo GHE 2009 08 19.pdf2009-09-18T01:07:33Z<p>Ths: </p>
<hr />
<div></div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=69156OWASP AppSec Germany 2009 Conference2009-09-17T11:19:26Z<p>Ths: </p>
<hr />
<div>__NOTOC__ <br />
<br />
[[Image:Germany.gif|right]]Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen. <br />
<br><br />
<br />
=== Sponsoren ===<br />
<br />
Wir danken unseren Sponsoren:<br />
<br />
<br />
{{Template:OWASP_Germany_2009_Sponsors}}<br />
<br />
<br><br />
<br />
==== Agenda ====<br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Montag, 12.10.09<br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 19:30-open end <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen. <br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen. <br />
<br />
--- Für das leibliche Wohl ist gesorgt. --- <br />
<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<br />
<br> <br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Dienstag, 13.10.09<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 08:30-09:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Registrierung und Kaffee<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:00-09:15 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Begrüßung'''<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:15-09:50 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Vorstellung des Open Web Application Security Project (OWASP) | '''Vorstellung des Open Web Application Security Project (OWASP)''']]<br />
<br />
''Dr. Boris Hemkemeier, Commerzbank''<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:50-10:25<br> <br />
| align="left" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
[[#OWASP Education Project | '''OWASP Education Project''']]<br />
<br />
''Martin Knobloch'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:25-10:45 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:45-11:20<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Praktische Erfahrung mit dem Secure Software Lifecycle | '''Praktische Erfahrung mit dem Secure Software Lifecycle''']]<br />
<br />
''Dr. Bruce Sams, OptimaBit GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:20-11:55 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen | '''Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen''']]<br />
<br />
''Sebastian Schinzel, Virtual Forge'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:55-12:30<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Adaptive Sicherheit durch Anomalieerkennung | '''Adaptive Sicherheit durch Anomalieerkennung''']]<br />
<br />
''Patrick Hammer, AdNovum Informatik AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 12:30-13:30 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Mittagspause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 13:30-14:05 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Design Bugs | '''Design Bugs''']]<br />
<br />
''Alexios Fakos, n.runs AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:05-14:40 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#JavaScript from Hell - advanced client side injection techniques of tomorrow | '''JavaScript from Hell - advanced client side injection techniques of tomorrow''']]<br />
<br />
''Mario Heiderich'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:40-15:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:00-15:35 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Pentesting: Sitemap für Webanwendungen (Tools) | '''Pentesting: Sitemap für Webanwendungen (Tools)''']]<br />
<br />
''Achim Hoffmann, SecureNet GmbH''<br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:35-16:10 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Projektierung von Sicherheitsprüfungen von Web Applikationen | '''Projektierung von Sicherheitsprüfungen von Web Applikationen''']]<br />
<br />
''Tobias Glemser, Tele-Consulting GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 16:10-16:25 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Schlusswort'''<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''<br>''</div> <br />
<br><br />
<br />
== Die Vorträge im Einzelnen ==<br />
<br />
=== Vorstellung des Open Web Application Security Project (OWASP) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier arbeitet als Senior Security Consultant bei der [http://www.commerzbank.de Commerzbank AG] und ist Board Member des German OWASP Chapters.<br />
<br />
=== OWASP Education Project ===<br />
:Die OWASP ist eine schier unerschöpfliche Quelle an Informationen zu fast allem, was die Sicherheit von Softwareanwendungen betrifft. Die Anzahl Projekte zu Tools und Dokumentationen wächst und wächst. Wo finde ich was zu welchem Thema? Was muss man und was sollte man wissen?<br />
<br />
:''Über Martin Knobloch''<br />
<br />
:Martin Knobloch ist Security Consultant bei Sogeti Nederland B.V., wo er die Arbeitsgruppe zur Anwendungssicherheit PaSS gegründet hat und leitet. Daneben ist Martin Mitglied des Niederländischen Chapter Board und trägt an meheren OWASP Projekten bei. Es ist Project Lead des OWASP Boot Camp, OWASP CTF, OWASP Speaker Project (Speaker Bureau) und OWASP Education Projekt. Martin ist aktives Mitglied des OWASP Global Education Committee.<br />
<br />
=== Praktische Erfahrung mit dem Secure Software Lifecycle ===<br />
:Fast 80% aller bekannten Sicherheitslücken haben ihren Ursprung in Anwendungen oder Infrastruktur-Komponenten wie zum Beispiel Web-Server und Application Server. Dies gilt für alle Arten von Software, egal ob selbstentwickelt, extern entwickelt, oder out-of-the-box-Standard-Software. Bekannte einzelne Maßnahmen wie Penetrationstests, Audits, Code-Reviews, usw. können helfen, aber sie müssen als Teile des "Secure Software Lifecycle" integriert werden, um am wirksamsten sein. <br />
<br />
:In dieser Präsentation erfahren Sie mehr über die effektivste Strategie für die Schaffung eines funktionierenden „Secure Software Lifecycle“. Die Beispiele sind aus der Praxis der Umsetzung des „Secure Software Lifecycle“ bei großen deutschen Unternehmen in den letzten Jahren. Sie werden sehen, wie man Kosten und Nutzen abschätzen kann und werden verstehen, wie die komplexen Puzzleteile zusammenpassen. Auf der Grundlage von konkreten Beispielen, erhalten Sie ein "Big Picture" der Sicherung der Software vor, während und nach der Entwicklung. <br />
<br />
:''Über Dr. Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel. <br />
<br />
=== Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen ===<br />
<br />
:Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers (WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die Entwicklung. <br />
<br />
: In diesem Vortrag stelle ich vor, wie man sichere Web-Anwendungen mit BSP bzw. Web Dynpro ABAP entwickelt. Ich zeige weiterhin, wie Entwickler gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting, SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man die Schwachstellen im Laufe eines Code Audits entdecken kann.<br />
<br />
:''Über Sebastian Schinzel''<br />
<br />
:Sebastian Schinzel ist seit mehr als sechs Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsanwendungen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsanwendungen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. Er ist Co-Autor des Buchs "Sichere ABAP-Programmierung" (SAP-Press 2009).<br />
<br />
=== Adaptive Sicherheit durch Anomalieerkennung ===<br />
<br />
:Weil die Funktionalität von Webapplikation stetig ausgebaut wird und zunehmend auch kritische Daten und Geschäftsprozesse damit gehandhabt werden, gehören Angriffe auf Webapplikationen zu den grössten aktuellen Sicherheitsproblemen. Zum Schutz vor solchen Bedrohungen kommen Web-Application-Firewalls (WAFs) zum Zuge. Aktuelle Komponenten setzen dabei auf ein Blacklist- oder Whitelist-Modell, welches mittels konfigurierbarer Regelsets durchgesetzt wird. Neuere Entwicklungen im Bereich von Whitelisting wie etwa URL- oder Form-Encryption figurieren auch unter dem Begriff “dynamisches Whitelisting”. Diesen Ansätzen sind diverse Grenzen gesetzt: Der Konfigurationsbedarf wird aufgrund der Komplexität heutiger Web-Anwendungen deutlich erhöht, Blacklist-Ansätze sind machtlos gegen “Zero-Day Exploits”, und sämtliche heutigen Ansätze greifen bei “Rich Internet Applications” (RIAs) und AJAX-Applikationen zu kurz. So auch dynamisches Whitelisting, welches mit JavaScript generierte URLs, Forms und Cookies nicht oder nur begrenzt handhaben kann.<br />
<br />
:Neue, innovative Techniken versprechen jedoch Abhilfe: So können mittels Anomalieerkennung Attacken auch ohne komplexe Konfiguration erkannt werden und mittels einer vertieften Analyse des Request- und Response-Bodys ist es möglich, RIAs zu schützen. Ein solcher Ansatz wird von AdNovum verfolgt und in dieser Session vorgestellt.<br />
<br />
:''Über Patrick Hammer''<br />
<br />
:folgt in Kürze<br />
<br />
=== Design Bugs ===<br />
<br />
:oder wenn aus einem Marketing oder Usability Feature ein Sicherproblem entsteht...<br />
:In dem Vortrag werden "unpopuläre" Fehler besprochen, die während der Design Phase eines Entwicklungszykluses zu erkennen sind und entsprechend behandelt werden können. Diese Probleme werden durch veröffentlichte Vorfälle belegt und erörtert.<br />
<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum führenden und herstellerunabhängigen deutschen IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
=== JavaScript from Hell - advanced client side injection techniques of tomorrow ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Mario Heiderich''<br />
<br />
:folgt in Kürze <br />
<br />
=== Pentesting: Sitemap für Webanwendungen (Tools) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Achim Hoffmann''<br />
<br />
: folgt in Kürze<br />
<br />
=== Projektierung von Sicherheitsprüfungen von Web Applikationen ===<br />
<br />
:Die Prüfung der Sicherheit von Webanwendungen wird mittlerweile von vielen Unternehmen als erforderlicher Schritt anerkannt. Insbesondere für die erstmalige Prüfung ist es für den Betreiber von Webanwendungen schwierig, ein entsprechendes Projekt aufzusetzen. Es gilt, zum einen den Projektfokus sauber zu definieren, um eine Vergleichbarkeit von Angeboten zu erzielen und zum anderen die Expertise der Dienstleister möglichst transparent bewerten zu können. <br />
<br />
:Ziel dieses nicht-technischen Whitepapers ist die Darstellung von transparenten Methoden, um die Projektierung einer solchen Prüfung zu ermöglichen und den geeigneten Dienstleister zu finden. Am Whitepaper beteiligt sind sowohl Endkunden, als auch mehrere Dienstleister, so dass ein generisches Dokument entwickelt werden konnte.<br />
<br />
:''Über Tobias Glemser''<br />
<br />
: folgt in Kürze<br />
<br />
<br />
==== Veranstaltungsort ====<br />
<br />
=== Konferenzort ===<br />
CCN Ost CongressCenter Nürnberg<br />
<br />
Messezentrum<br />
<br />
90471 Nürnberg<br />
<br />
[http://www.congressing.de www.congressing.de]<br />
<br />
=== Vorträge ===<br />
<br />
Ebene 3, '''Raum Shanghai''' <br />
<br />
Das Come Together in den Pausen und die Ausstellung finden in der Galerie vor dem Raum Shanghai und dem Foyer Shanghai/Seoul statt.<br />
<br />
=== Anreise ===<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/auto/ Anreise mit dem Auto]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/bahn/ Anreise mit der Bahn und dem Öffentlichen Nahverkehr]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/flugzeug/ Anreise mit dem Flugzeug]<br />
<br />
=== NürnbergMOBIL ===<br />
<br />
'''[http://www.nuernbergmobil.de NürnbergMOBIL]''' bietet Informationen zu sämtlichen Verkehrsverbindungen, dem Stadtgeschehen und rund um den Tourismus in Nürnberg<br />
<br />
==== Vorabendveranstaltung ====<br />
<br><br />
<br />
Zwischen 19:30 und 20:00 Uhr geht es am Vorabend, dem 12.10.09, los! Alle Teilnehmer sind zum Kennenlernen, Erfahrungsaustausch, Kontakteknüpfen in lockerer Atmosphäre eingeladen (Bitte auf dem Anmeldeformular entsprechend vermerken). Für das leibliche Wohl ist gesorgt.<br />
<br />
<br />
'''Restaurant Steichele'''<br />
<br />
Knorrstraße 2-8 <br />
<br />
90402 Nürnberg <br />
<br />
Telefon: +49 (0) 911 20 22 8-0 <br />
Telefax: +49 (0) 911 22 19 14 <br />
<br />
<br />
[http://www.steichele.de Link zum Restaurant]<br />
<br />
[http://www.steichele.de/dokumente/wegbeschreibung_STEICHELE.pdf Anreise zum Restauant (pdf)]<br />
<br />
<br />
==== Anmeldung und Preise ====<br />
<br />
<br><br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
<br><br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br><br />
Auf dem OWASP-Stand der [http://www.it-sa.de/ it-sa] erhalten Sie Informationen zur OWASP und können sich fachlich austauschen.<br />
<br />
<br />
Sie finden uns am '''Stand 6-712''' ([http://www.it-sa.de/hallenplan-it-sa-2009/ Hallenplan])<br />
<br />
==== CfP (closed) ====<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete <br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungsframeworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
<br> '''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.''' <br />
<br />
<br> <br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br> <br />
<br />
=== Weitere Informationen ===<br />
<br />
*Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/ <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Kontakt: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision. <br />
<br />
<br> <br />
<br />
=== Topics of Interest ===<br />
<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security): <br />
<br />
*Technical talks with particular relevancy to practice. <br />
*Secure development frameworks and best practices <br />
*Security awareness programs for developers, testers, architects and business people <br />
*Security management of web based applications <br />
*Security management in outsourcing and off-shoring projects and operations <br />
*Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc. <br />
*OWASP in your enterprise or university <br />
*Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below). <br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc). <br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.''' <br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab. <br />
*Acceptance notification until 31st August, 2009. <br />
*Submission deadline for presentation slides (prefinal) 1st October, 2009 <br />
*'''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br> <br />
<br />
=== Additional information: ===<br />
<br />
*Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Contact: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<headertabs /></div>Thshttps://wiki.owasp.org/index.php?title=Template:OWASP_Germany_2009_Sponsors&diff=69155Template:OWASP Germany 2009 Sponsors2009-09-17T11:10:50Z<p>Ths: </p>
<hr />
<div>{| <br />
|-<br />
| &nbsp;&nbsp; <br />
| &nbsp;&nbsp;&nbsp;&nbsp;[http://www.artofdefence.com/ http://www.owasp.org/images/0/08/Aod.png]<br />
| &nbsp;&nbsp;&nbsp;&nbsp;<br />
| &nbsp;&nbsp;&nbsp;&nbsp;<br />
|-<br />
| &nbsp;&nbsp;&nbsp;&nbsp;<br />
|}</div>Thshttps://wiki.owasp.org/index.php?title=Template:OWASP_Germany_2009_Sponsors&diff=69150Template:OWASP Germany 2009 Sponsors2009-09-17T11:05:30Z<p>Ths: Created page with '{| |- | '''Sponsoren:''' | &nbsp;&nbsp;&nbsp;&nbsp;[http://www.artofdefence.com/ http://www.owasp.org/images/0/08/Aod.png] | &nbsp;&nbsp;&nbsp;&nbsp; | &nbsp;&nbsp;&nbsp;&nbsp;…'</p>
<hr />
<div>{| <br />
|-<br />
| '''Sponsoren:''' <br />
| &nbsp;&nbsp;&nbsp;&nbsp;[http://www.artofdefence.com/ http://www.owasp.org/images/0/08/Aod.png]<br />
| &nbsp;&nbsp;&nbsp;&nbsp;<br />
| &nbsp;&nbsp;&nbsp;&nbsp;<br />
|-<br />
| &nbsp;&nbsp;&nbsp;&nbsp;<br />
|}</div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=69012OWASP AppSec Germany 2009 Conference2009-09-16T15:13:21Z<p>Ths: </p>
<hr />
<div>__NOTOC__ <br />
<br />
[[Image:Germany.gif|right]]Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen. <br />
<br />
==== Agenda ====<br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Montag, 12.10.09<br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 19:30-open end <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen. <br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen. <br />
<br />
--- Für das leibliche Wohl ist gesorgt. --- <br />
<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<br />
<br> <br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Dienstag, 13.10.09<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 08:30-09:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Registrierung und Kaffee<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:00-09:15 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Begrüßung'''<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:15-09:50 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Vorstellung des Open Web Application Security Project (OWASP) | '''Vorstellung des Open Web Application Security Project (OWASP)''']]<br />
<br />
''Dr. Boris Hemkemeier, Commerzbank''<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:50-10:25<br> <br />
| align="left" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
[[#OWASP Education Project | '''OWASP Education Project''']]<br />
<br />
''Martin Knobloch'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:25-10:45 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:45-11:20<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Praktische Erfahrung mit dem Secure Software Lifecycle | '''Praktische Erfahrung mit dem Secure Software Lifecycle''']]<br />
<br />
''Dr. Bruce Sams, OptimaBit GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:20-11:55 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen | '''Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen''']]<br />
<br />
''Sebastian Schinzel, Virtual Forge'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:55-12:30<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Adaptive Sicherheit durch Anomalieerkennung | '''Adaptive Sicherheit durch Anomalieerkennung''']]<br />
<br />
''Patrick Hammer, AdNovum Informatik AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 12:30-13:30 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Mittagspause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 13:30-14:05 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Design Bugs | '''Design Bugs''']]<br />
<br />
''Alexios Fakos, n.runs AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:05-14:40 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#JavaScript from Hell - advanced client side injection techniques of tomorrow | '''JavaScript from Hell - advanced client side injection techniques of tomorrow''']]<br />
<br />
''Mario Heiderich'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:40-15:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:00-15:35 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Pentesting: Sitemap für Webanwendungen (Tools) | '''Pentesting: Sitemap für Webanwendungen (Tools)''']]<br />
<br />
''Achim Hoffmann, SecureNet GmbH''<br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:35-16:10 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Projektierung von Sicherheitsprüfungen von Web Applikationen | '''Projektierung von Sicherheitsprüfungen von Web Applikationen''']]<br />
<br />
''Tobias Glemser, Tele-Consulting GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 16:10-16:25 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Schlusswort'''<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''<br>''</div> <br />
<br><br />
<br />
== Die Vorträge im Einzelnen ==<br />
<br />
=== Vorstellung des Open Web Application Security Project (OWASP) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier arbeitet als Senior Security Consultant bei der [http://www.commerzbank.de Commerzbank AG] und ist Board Member des German OWASP Chapters.<br />
<br />
=== OWASP Education Project ===<br />
:Die OWASP ist eine schier unerschöpfliche Quelle an Informationen zu fast allem, was die Sicherheit von Softwareanwendungen betrifft. Die Anzahl Projekte zu Tools und Dokumentationen wächst und wächst. Wo finde ich was zu welchem Thema? Was muss man und was sollte man wissen?<br />
<br />
:''Über Martin Knobloch''<br />
<br />
:Martin Knobloch ist Security Consultant bei Sogeti Nederland B.V., wo er die Arbeitsgruppe zur Anwendungssicherheit PaSS gegründet hat und leitet. Daneben ist Martin Mitglied des Niederländischen Chapter Board und trägt an meheren OWASP Projekten bei. Es ist Project Lead des OWASP Boot Camp, OWASP CTF, OWASP Speaker Project (Speaker Bureau) und OWASP Education Projekt. Martin ist aktives Mitglied des OWASP Global Education Committee.<br />
<br />
=== Praktische Erfahrung mit dem Secure Software Lifecycle ===<br />
:Fast 80% aller bekannten Sicherheitslücken haben ihren Ursprung in Anwendungen oder Infrastruktur-Komponenten wie zum Beispiel Web-Server und Application Server. Dies gilt für alle Arten von Software, egal ob selbstentwickelt, extern entwickelt, oder out-of-the-box-Standard-Software. Bekannte einzelne Maßnahmen wie Penetrationstests, Audits, Code-Reviews, usw. können helfen, aber sie müssen als Teile des "Secure Software Lifecycle" integriert werden, um am wirksamsten sein. <br />
<br />
:In dieser Präsentation erfahren Sie mehr über die effektivste Strategie für die Schaffung eines funktionierenden „Secure Software Lifecycle“. Die Beispiele sind aus der Praxis der Umsetzung des „Secure Software Lifecycle“ bei großen deutschen Unternehmen in den letzten Jahren. Sie werden sehen, wie man Kosten und Nutzen abschätzen kann und werden verstehen, wie die komplexen Puzzleteile zusammenpassen. Auf der Grundlage von konkreten Beispielen, erhalten Sie ein "Big Picture" der Sicherung der Software vor, während und nach der Entwicklung. <br />
<br />
:''Über Dr. Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel. <br />
<br />
=== Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen ===<br />
<br />
:Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers (WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die Entwicklung. <br />
<br />
: In diesem Vortrag stelle ich vor, wie man sichere Web-Anwendungen mit BSP bzw. Web Dynpro ABAP entwickelt. Ich zeige weiterhin, wie Entwickler gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting, SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man die Schwachstellen im Laufe eines Code Audits entdecken kann.<br />
<br />
:''Über Sebastian Schinzel''<br />
<br />
:Sebastian Schinzel ist seit mehr als sechs Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsanwendungen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsanwendungen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. Er ist Co-Autor des Buchs "Sichere ABAP-Programmierung" (SAP-Press 2009).<br />
<br />
=== Adaptive Sicherheit durch Anomalieerkennung ===<br />
<br />
:Weil die Funktionalität von Webapplikation stetig ausgebaut wird und zunehmend auch kritische Daten und Geschäftsprozesse damit gehandhabt werden, gehören Angriffe auf Webapplikationen zu den grössten aktuellen Sicherheitsproblemen. Zum Schutz vor solchen Bedrohungen kommen Web-Application-Firewalls (WAFs) zum Zuge. Aktuelle Komponenten setzen dabei auf ein Blacklist- oder Whitelist-Modell, welches mittels konfigurierbarer Regelsets durchgesetzt wird. Neuere Entwicklungen im Bereich von Whitelisting wie etwa URL- oder Form-Encryption figurieren auch unter dem Begriff “dynamisches Whitelisting”. Diesen Ansätzen sind diverse Grenzen gesetzt: Der Konfigurationsbedarf wird aufgrund der Komplexität heutiger Web-Anwendungen deutlich erhöht, Blacklist-Ansätze sind machtlos gegen “Zero-Day Exploits”, und sämtliche heutigen Ansätze greifen bei “Rich Internet Applications” (RIAs) und AJAX-Applikationen zu kurz. So auch dynamisches Whitelisting, welches mit JavaScript generierte URLs, Forms und Cookies nicht oder nur begrenzt handhaben kann.<br />
<br />
:Neue, innovative Techniken versprechen jedoch Abhilfe: So können mittels Anomalieerkennung Attacken auch ohne komplexe Konfiguration erkannt werden und mittels einer vertieften Analyse des Request- und Response-Bodys ist es möglich, RIAs zu schützen. Ein solcher Ansatz wird von AdNovum verfolgt und in dieser Session vorgestellt.<br />
<br />
:''Über Patrick Hammer''<br />
<br />
:folgt in Kürze<br />
<br />
=== Design Bugs ===<br />
<br />
:oder wenn aus einem Marketing oder Usability Feature ein Sicherproblem entsteht...<br />
:In dem Vortrag werden "unpopuläre" Fehler besprochen, die während der Design Phase eines Entwicklungszykluses zu erkennen sind und entsprechend behandelt werden können. Diese Probleme werden durch veröffentlichte Vorfälle belegt und erörtert.<br />
<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum führenden und herstellerunabhängigen deutschen IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
=== JavaScript from Hell - advanced client side injection techniques of tomorrow ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Mario Heiderich''<br />
<br />
:folgt in Kürze <br />
<br />
=== Pentesting: Sitemap für Webanwendungen (Tools) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Achim Hoffmann''<br />
<br />
: folgt in Kürze<br />
<br />
=== Projektierung von Sicherheitsprüfungen von Web Applikationen ===<br />
<br />
:Die Prüfung der Sicherheit von Webanwendungen wird mittlerweile von vielen Unternehmen als erforderlicher Schritt anerkannt. Insbesondere für die erstmalige Prüfung ist es für den Betreiber von Webanwendungen schwierig, ein entsprechendes Projekt aufzusetzen. Es gilt, zum einen den Projektfokus sauber zu definieren, um eine Vergleichbarkeit von Angeboten zu erzielen und zum anderen die Expertise der Dienstleister möglichst transparent bewerten zu können. <br />
<br />
:Ziel dieses nicht-technischen Whitepapers ist die Darstellung von transparenten Methoden, um die Projektierung einer solchen Prüfung zu ermöglichen und den geeigneten Dienstleister zu finden. Am Whitepaper beteiligt sind sowohl Endkunden, als auch mehrere Dienstleister, so dass ein generisches Dokument entwickelt werden konnte.<br />
<br />
:''Über Tobias Glemser''<br />
<br />
: folgt in Kürze<br />
<br />
<br />
==== Veranstaltungsort ====<br />
<br />
=== Konferenzort ===<br />
CCN Ost CongressCenter Nürnberg<br />
<br />
Messezentrum<br />
<br />
90471 Nürnberg<br />
<br />
[http://www.congressing.de www.congressing.de]<br />
<br />
=== Vorträge ===<br />
<br />
Ebene 3, '''Raum Shanghai''' <br />
<br />
Das Come Together in den Pausen und die Ausstellung finden in der Galerie vor dem Raum Shanghai und dem Foyer Shanghai/Seoul statt.<br />
<br />
=== Anreise ===<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/auto/ Anreise mit dem Auto]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/bahn/ Anreise mit der Bahn und dem Öffentlichen Nahverkehr]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/flugzeug/ Anreise mit dem Flugzeug]<br />
<br />
=== NürnbergMOBIL ===<br />
<br />
'''[http://www.nuernbergmobil.de NürnbergMOBIL]''' bietet Informationen zu sämtlichen Verkehrsverbindungen, dem Stadtgeschehen und rund um den Tourismus in Nürnberg<br />
<br />
==== Vorabendveranstaltung ====<br />
<br><br />
<br />
Zwischen 19:30 und 20:00 Uhr geht es am Vorabend, dem 12.10.09, los! Alle Teilnehmer sind zum Kennenlernen, Erfahrungsaustausch, Kontakteknüpfen in lockerer Atmosphäre eingeladen (Bitte auf dem Anmeldeformular entsprechend vermerken). Für das leibliche Wohl ist gesorgt.<br />
<br />
<br />
'''Restaurant Steichele'''<br />
<br />
Knorrstraße 2-8 <br />
<br />
90402 Nürnberg <br />
<br />
Telefon: +49 (0) 911 20 22 8-0 <br />
Telefax: +49 (0) 911 22 19 14 <br />
<br />
<br />
[http://www.steichele.de Link zum Restaurant]<br />
<br />
[http://www.steichele.de/dokumente/wegbeschreibung_STEICHELE.pdf Anreise zum Restauant (pdf)]<br />
<br />
<br />
==== Anmeldung und Preise ====<br />
<br />
<br><br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
<br><br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br><br />
Auf dem OWASP-Stand der [http://www.it-sa.de/ it-sa] erhalten Sie Informationen zur OWASP und können sich fachlich austauschen.<br />
<br />
<br />
Sie finden uns am '''Stand 6-712''' ([http://www.it-sa.de/hallenplan-it-sa-2009/ Hallenplan])<br />
<br />
==== CfP (closed) ====<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete <br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungsframeworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
<br> '''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.''' <br />
<br />
<br> <br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br> <br />
<br />
=== Weitere Informationen ===<br />
<br />
*Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/ <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Kontakt: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision. <br />
<br />
<br> <br />
<br />
=== Topics of Interest ===<br />
<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security): <br />
<br />
*Technical talks with particular relevancy to practice. <br />
*Secure development frameworks and best practices <br />
*Security awareness programs for developers, testers, architects and business people <br />
*Security management of web based applications <br />
*Security management in outsourcing and off-shoring projects and operations <br />
*Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc. <br />
*OWASP in your enterprise or university <br />
*Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below). <br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc). <br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.''' <br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab. <br />
*Acceptance notification until 31st August, 2009. <br />
*Submission deadline for presentation slides (prefinal) 1st October, 2009 <br />
*'''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br> <br />
<br />
=== Additional information: ===<br />
<br />
*Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Contact: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<headertabs /></div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=69003OWASP AppSec Germany 2009 Conference2009-09-16T15:03:14Z<p>Ths: /* OWASP AppSec Conference Germany 2009 */</p>
<hr />
<div>__NOTOC__ <br />
<br />
= OWASP AppSec Conference Germany 2009 =<br />
<br />
[[Image:Germany.gif|right]]Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen. <br />
<br />
==== CfP (closed) ====<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete <br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungsframeworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
<br> '''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.''' <br />
<br />
<br> <br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br> <br />
<br />
=== Weitere Informationen ===<br />
<br />
*Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/ <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Kontakt: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision. <br />
<br />
<br> <br />
<br />
=== Topics of Interest ===<br />
<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security): <br />
<br />
*Technical talks with particular relevancy to practice. <br />
*Secure development frameworks and best practices <br />
*Security awareness programs for developers, testers, architects and business people <br />
*Security management of web based applications <br />
*Security management in outsourcing and off-shoring projects and operations <br />
*Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc. <br />
*OWASP in your enterprise or university <br />
*Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below). <br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc). <br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.''' <br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab. <br />
*Acceptance notification until 31st August, 2009. <br />
*Submission deadline for presentation slides (prefinal) 1st October, 2009 <br />
*'''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br> <br />
<br />
=== Additional information: ===<br />
<br />
*Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Contact: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
==== Agenda ====<br />
<br />
== Agenda ==<br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Montag, 12.10.09<br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 19:30-open end <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen. <br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen. <br />
<br />
--- Für das leibliche Wohl ist gesorgt. --- <br />
<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<br />
<br> <br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Dienstag, 13.10.09<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 08:30-09:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Registrierung und Kaffee<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:00-09:15 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Begrüßung'''<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:15-09:50 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Vorstellung des Open Web Application Security Project (OWASP) | '''Vorstellung des Open Web Application Security Project (OWASP)''']]<br />
<br />
''Dr. Boris Hemkemeier, Commerzbank''<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:50-10:25<br> <br />
| align="left" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
[[#OWASP Education Project | '''OWASP Education Project''']]<br />
<br />
''Martin Knobloch'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:25-10:45 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:45-11:20<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Praktische Erfahrung mit dem Secure Software Lifecycle | '''Praktische Erfahrung mit dem Secure Software Lifecycle''']]<br />
<br />
''Dr. Bruce Sams, OptimaBit GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:20-11:55 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen | '''Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen''']]<br />
<br />
''Sebastian Schinzel, Virtual Forge'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:55-12:30<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Adaptive Sicherheit durch Anomalieerkennung | '''Adaptive Sicherheit durch Anomalieerkennung''']]<br />
<br />
''Patrick Hammer, AdNovum Informatik AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 12:30-13:30 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Mittagspause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 13:30-14:05 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Design Bugs | '''Design Bugs''']]<br />
<br />
''Alexios Fakos, n.runs AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:05-14:40 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#JavaScript from Hell - advanced client side injection techniques of tomorrow | '''JavaScript from Hell - advanced client side injection techniques of tomorrow''']]<br />
<br />
''Mario Heiderich'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:40-15:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:00-15:35 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Pentesting: Sitemap für Webanwendungen (Tools) | '''Pentesting: Sitemap für Webanwendungen (Tools)''']]<br />
<br />
''Achim Hoffmann, SecureNet GmbH''<br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:35-16:10 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Projektierung von Sicherheitsprüfungen von Web Applikationen | '''Projektierung von Sicherheitsprüfungen von Web Applikationen''']]<br />
<br />
''Tobias Glemser, Tele-Consulting GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 16:10-16:25 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Schlusswort'''<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''<br>''</div> <br />
<br><br />
<br />
== Die Vorträge im Einzelnen ==<br />
<br />
=== Vorstellung des Open Web Application Security Project (OWASP) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier arbeitet als Senior Security Consultant bei der [http://www.commerzbank.de Commerzbank AG] und ist Board Member des German OWASP Chapters.<br />
<br />
=== OWASP Education Project ===<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Martin Knobloch''<br />
<br />
:folgt in Kürze <br />
<br />
=== Praktische Erfahrung mit dem Secure Software Lifecycle ===<br />
:Fast 80% aller bekannten Sicherheitslücken haben ihren Ursprung in Anwendungen oder Infrastruktur-Komponenten wie zum Beispiel Web-Server und Application Server. Dies gilt für alle Arten von Software, egal ob selbstentwickelt, extern entwickelt, oder out-of-the-box-Standard-Software. Bekannte einzelne Maßnahmen wie Penetrationstests, Audits, Code-Reviews, usw. können helfen, aber sie müssen als Teile des "Secure Software Lifecycle" integriert werden, um am wirksamsten sein. <br />
<br />
:In dieser Präsentation erfahren Sie mehr über die effektivste Strategie für die Schaffung eines funktionierenden „Secure Software Lifecycle“. Die Beispiele sind aus der Praxis der Umsetzung des „Secure Software Lifecycle“ bei großen deutschen Unternehmen in den letzten Jahren. Sie werden sehen, wie man Kosten und Nutzen abschätzen kann und werden verstehen, wie die komplexen Puzzleteile zusammenpassen. Auf der Grundlage von konkreten Beispielen, erhalten Sie ein "Big Picture" der Sicherung der Software vor, während und nach der Entwicklung. <br />
<br />
:''Über Dr. Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel. <br />
<br />
=== Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen ===<br />
<br />
:Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers (WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die Entwicklung. <br />
<br />
: In diesem Vortrag stelle ich vor, wie man sichere Web-Anwendungen mit BSP bzw. Web Dynpro ABAP entwickelt. Ich zeige weiterhin, wie Entwickler gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting, SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man die Schwachstellen im Laufe eines Code Audits entdecken kann.<br />
<br />
:''Über Sebastian Schinzel''<br />
<br />
:Sebastian Schinzel ist seit mehr als sechs Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsanwendungen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsanwendungen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. Er ist Co-Autor des Buchs "Sichere ABAP-Programmierung" (SAP-Press 2009).<br />
<br />
=== Adaptive Sicherheit durch Anomalieerkennung ===<br />
<br />
:Weil die Funktionalität von Webapplikation stetig ausgebaut wird und zunehmend auch kritische Daten und Geschäftsprozesse damit gehandhabt werden, gehören Angriffe auf Webapplikationen zu den grössten aktuellen Sicherheitsproblemen. Zum Schutz vor solchen Bedrohungen kommen Web-Application-Firewalls (WAFs) zum Zuge. Aktuelle Komponenten setzen dabei auf ein Blacklist- oder Whitelist-Modell, welches mittels konfigurierbarer Regelsets durchgesetzt wird. Neuere Entwicklungen im Bereich von Whitelisting wie etwa URL- oder Form-Encryption figurieren auch unter dem Begriff “dynamisches Whitelisting”. Diesen Ansätzen sind diverse Grenzen gesetzt: Der Konfigurationsbedarf wird aufgrund der Komplexität heutiger Web-Anwendungen deutlich erhöht, Blacklist-Ansätze sind machtlos gegen “Zero-Day Exploits”, und sämtliche heutigen Ansätze greifen bei “Rich Internet Applications” (RIAs) und AJAX-Applikationen zu kurz. So auch dynamisches Whitelisting, welches mit JavaScript generierte URLs, Forms und Cookies nicht oder nur begrenzt handhaben kann.<br />
<br />
:Neue, innovative Techniken versprechen jedoch Abhilfe: So können mittels Anomalieerkennung Attacken auch ohne komplexe Konfiguration erkannt werden und mittels einer vertieften Analyse des Request- und Response-Bodys ist es möglich, RIAs zu schützen. Ein solcher Ansatz wird von AdNovum verfolgt und in dieser Session vorgestellt.<br />
<br />
:''Über Patrick Hammer''<br />
<br />
:folgt in Kürze<br />
<br />
=== Design Bugs ===<br />
<br />
:oder wenn aus einem Marketing oder Usability Feature ein Sicherproblem entsteht...<br />
:In dem Vortrag werden "unpopuläre" Fehler besprochen, die während der Design Phase eines Entwicklungszykluses zu erkennen sind und entsprechend behandelt werden können. Diese Probleme werden durch veröffentlichte Vorfälle belegt und erörtert.<br />
<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum führenden und herstellerunabhängigen deutschen IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
<br />
=== JavaScript from Hell - advanced client side injection techniques of tomorrow ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Mario Heiderich''<br />
<br />
:folgt in Kürze <br />
<br />
=== Pentesting: Sitemap für Webanwendungen (Tools) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Achim Hoffmann''<br />
<br />
: folgt in Kürze<br />
<br />
=== Projektierung von Sicherheitsprüfungen von Web Applikationen ===<br />
<br />
:Die Prüfung der Sicherheit von Webanwendungen wird mittlerweile von vielen Unternehmen als erforderlicher Schritt anerkannt. Insbesondere für die erstmalige Prüfung ist es für den Betreiber von Webanwendungen schwierig, ein entsprechendes Projekt aufzusetzen. Es gilt, zum einen den Projektfokus sauber zu definieren, um eine Vergleichbarkeit von Angeboten zu erzielen und zum anderen die Expertise der Dienstleister möglichst transparent bewerten zu können. <br />
<br />
:Ziel dieses nicht-technischen Whitepapers ist die Darstellung von transparenten Methoden, um die Projektierung einer solchen Prüfung zu ermöglichen und den geeigneten Dienstleister zu finden. Am Whitepaper beteiligt sind sowohl Endkunden, als auch mehrere Dienstleister, so dass ein generisches Dokument entwickelt werden konnte.<br />
<br />
:''Über Tobias Glemser''<br />
<br />
: folgt in Kürze<br />
<br />
<br />
==== Veranstaltungsort ====<br />
<br />
=== Konferenzort ===<br />
CCN Ost CongressCenter Nürnberg<br />
<br />
Messezentrum<br />
<br />
90471 Nürnberg<br />
<br />
[http://www.congressing.de www.congressing.de]<br />
<br />
=== Vorträge ===<br />
<br />
Ebene 3, '''Raum Shanghai''' <br />
<br />
Das Come Together in den Pausen und die Ausstellung finden in der Galerie vor dem Raum Shanghai und dem Foyer Shanghai/Seoul statt.<br />
<br />
=== Anreise ===<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/auto/ Anreise mit dem Auto]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/bahn/ Anreise mit der Bahn und dem Öffentlichen Nahverkehr]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/flugzeug/ Anreise mit dem Flugzeug]<br />
<br />
=== NürnbergMOBIL ===<br />
<br />
'''[http://www.nuernbergmobil.de NürnbergMOBIL]''' bietet Informationen zu sämtlichen Verkehrsverbindungen, dem Stadtgeschehen und rund um den Tourismus in Nürnberg<br />
<br />
==== Vorabendveranstaltung ====<br />
<br><br />
<br />
Zwischen 19:30 und 20:00 Uhr geht es am Vorabend, dem 12.10.09, los! Alle Teilnehmer sind zum Kennenlernen, Erfahrungsaustausch, Kontakteknüpfen in lockerer Atmosphäre eingeladen (Bitte auf dem Anmeldeformular entsprechend vermerken). Für das leibliche Wohl ist gesorgt.<br />
<br />
<br />
'''Restaurant Steichele'''<br />
<br />
Knorrstraße 2-8 <br />
<br />
90402 Nürnberg <br />
<br />
Telefon: +49 (0) 911 20 22 8-0 <br />
Telefax: +49 (0) 911 22 19 14 <br />
<br />
<br />
[http://www.steichele.de Link zum Restaurant]<br />
<br />
[http://www.steichele.de/dokumente/wegbeschreibung_STEICHELE.pdf Anreise zum Restauant (pdf)]<br />
<br />
<br />
==== Anmeldung und Preise ====<br />
<br />
<br><br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
<br><br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br><br />
Auf dem OWASP-Stand der [http://www.it-sa.de/ it-sa] erhalten Sie Informationen zur OWASP und können sich fachlich austauschen.<br />
<br />
<br />
Sie finden uns am '''Stand 6-712''' ([http://www.it-sa.de/hallenplan-it-sa-2009/ Hallenplan])<br />
<br />
<headertabs /></div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=68998OWASP AppSec Germany 2009 Conference2009-09-16T14:59:54Z<p>Ths: /* OWASP AppSec Conference Germany 2009 */</p>
<hr />
<div>__NOTOC__ <br />
<br />
= OWASP AppSec Conference Germany 2009 =<br />
<br />
[[Image:Germany.gif|right]]Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen. <br />
<br />
==== CfP (closed) ====<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete <br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungsframeworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
<br> '''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.''' <br />
<br />
<br> <br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br> <br />
<br />
=== Weitere Informationen ===<br />
<br />
*Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/ <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Kontakt: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision. <br />
<br />
<br> <br />
<br />
=== Topics of Interest ===<br />
<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security): <br />
<br />
*Technical talks with particular relevancy to practice. <br />
*Secure development frameworks and best practices <br />
*Security awareness programs for developers, testers, architects and business people <br />
*Security management of web based applications <br />
*Security management in outsourcing and off-shoring projects and operations <br />
*Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc. <br />
*OWASP in your enterprise or university <br />
*Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below). <br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc). <br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.''' <br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab. <br />
*Acceptance notification until 31st August, 2009. <br />
*Submission deadline for presentation slides (prefinal) 1st October, 2009 <br />
*'''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br> <br />
<br />
=== Additional information: ===<br />
<br />
*Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Contact: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
==== Agenda ====<br />
<br />
== Agenda ==<br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Montag, 12.10.09<br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 19:30-open end <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen. <br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen. <br />
<br />
--- Für das leibliche Wohl ist gesorgt. --- <br />
<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<br />
<br> <br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Dienstag, 13.10.09<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 08:30-09:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Registrierung und Kaffee<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:00-09:15 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Begrüßung'''<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:15-09:50 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Vorstellung des Open Web Application Security Project (OWASP) | '''Vorstellung des Open Web Application Security Project (OWASP)''']]<br />
<br />
''Dr. Boris Hemkemeier, Commerzbank''<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:50-10:25<br> <br />
| align="left" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
[[#OWASP Education Project | '''OWASP Education Project''']]<br />
<br />
''Martin Knobloch'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:25-10:45 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:45-11:20<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Praktische Erfahrung mit dem Secure Software Lifecycle | '''Praktische Erfahrung mit dem Secure Software Lifecycle''']]<br />
<br />
''Dr. Bruce Sams, OptimaBit GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:20-11:55 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen | '''Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen''']]<br />
<br />
''Sebastian Schinzel, Virtual Forge'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:55-12:30<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Adaptive Sicherheit durch Anomalieerkennung | '''Adaptive Sicherheit durch Anomalieerkennung''']]<br />
<br />
''Patrick Hammer, AdNovum Informatik AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 12:30-13:30 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Mittagspause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 13:30-14:05 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Design Bugs | '''Design Bugs''']]<br />
<br />
''Alexios Fakos, n.runs AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:05-14:40 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#JavaScript from Hell - advanced client side injection techniques of tomorrow | '''JavaScript from Hell - advanced client side injection techniques of tomorrow''']]<br />
<br />
''Mario Heiderich'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:40-15:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:00-15:35 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Pentesting: Sitemap für Webanwendungen (Tools) | '''Pentesting: Sitemap für Webanwendungen (Tools)''']]<br />
<br />
''Achim Hoffmann, SecureNet GmbH''<br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:35-16:10 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Projektierung von Sicherheitsprüfungen von Web Applikationen | '''Projektierung von Sicherheitsprüfungen von Web Applikationen''']]<br />
<br />
''Tobias Glemser, Tele-Consulting GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 16:10-16:25 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Schlusswort'''<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''<br>''</div> <br />
<br><br />
<br />
== Die Vorträge im Einzelnen ==<br />
<br />
=== Vorstellung des Open Web Application Security Project (OWASP) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier arbeitet als Senior Security Consultant bei der [http://www.commerzbank.de Commerzbank AG] und ist Board Member des German OWASP Chapters.<br />
<br />
=== OWASP Education Project ===<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Martin Knobloch''<br />
<br />
:folgt in Kürze <br />
<br />
=== Praktische Erfahrung mit dem Secure Software Lifecycle ===<br />
:Fast 80% aller bekannten Sicherheitslücken haben ihren Ursprung in Anwendungen oder Infrastruktur-Komponenten wie zum Beispiel Web-Server und Application Server. Dies gilt für alle Arten von Software, egal ob selbstentwickelt, extern entwickelt, oder out-of-the-box-Standard-Software. Bekannte einzelne Maßnahmen wie Penetrationstests, Audits, Code-Reviews, usw. können helfen, aber sie müssen als Teile des "Secure Software Lifecycle" integriert werden, um am wirksamsten sein. <br />
<br />
:In dieser Präsentation erfahren Sie mehr über die effektivste Strategie für die Schaffung eines funktionierenden „Secure Software Lifecycle“. Die Beispiele sind aus der Praxis der Umsetzung des „Secure Software Lifecycle“ bei großen deutschen Unternehmen in den letzten Jahren. Sie werden sehen, wie man Kosten und Nutzen abschätzen kann und werden verstehen, wie die komplexen Puzzleteile zusammenpassen. Auf der Grundlage von konkreten Beispielen, erhalten Sie ein "Big Picture" der Sicherung der Software vor, während und nach der Entwicklung. <br />
<br />
:''Über Dr. Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel. <br />
<br />
=== Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen ===<br />
<br />
:Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers (WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die Entwicklung. <br />
<br />
: In diesem Vortrag stelle ich vor, wie man sichere Web-Anwendungen mit BSP bzw. Web Dynpro ABAP entwickelt. Ich zeige weiterhin, wie Entwickler gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting, SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man die Schwachstellen im Laufe eines Code Audits entdecken kann.<br />
<br />
:''Über Sebastian Schinzel''<br />
<br />
:Sebastian Schinzel ist seit mehr als sechs Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsanwendungen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsanwendungen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. Er ist Co-Autor des Buchs "Sichere ABAP-Programmierung" (SAP-Press 2009).<br />
<br />
=== Adaptive Sicherheit durch Anomalieerkennung ===<br />
<br />
:Weil die Funktionalität von Webapplikation stetig ausgebaut wird und zunehmend auch kritische Daten und Geschäftsprozesse damit gehandhabt werden, gehören Angriffe auf Webapplikationen zu den grössten aktuellen Sicherheitsproblemen. Zum Schutz vor solchen Bedrohungen kommen Web-Application-Firewalls (WAFs) zum Zuge. Aktuelle Komponenten setzen dabei auf ein Blacklist- oder Whitelist-Modell, welches mittels konfigurierbarer Regelsets durchgesetzt wird. Neuere Entwicklungen im Bereich von Whitelisting wie etwa URL- oder Form-Encryption figurieren auch unter dem Begriff “dynamisches Whitelisting”. Diesen Ansätzen sind diverse Grenzen gesetzt: Der Konfigurationsbedarf wird aufgrund der Komplexität heutiger Web-Anwendungen deutlich erhöht, Blacklist-Ansätze sind machtlos gegen “Zero-Day Exploits”, und sämtliche heutigen Ansätze greifen bei “Rich Internet Applications” (RIAs) und AJAX-Applikationen zu kurz. So auch dynamisches Whitelisting, welches mit JavaScript generierte URLs, Forms und Cookies nicht oder nur begrenzt handhaben kann.<br />
<br />
:Neue, innovative Techniken versprechen jedoch Abhilfe: So können mittels Anomalieerkennung Attacken auch ohne komplexe Konfiguration erkannt werden und mittels einer vertieften Analyse des Request- und Response-Bodys ist es möglich, RIAs zu schützen. Ein solcher Ansatz wird von AdNovum verfolgt und in dieser Session vorgestellt.<br />
<br />
:''Über Patrick Hammer''<br />
<br />
:folgt in Kürze<br />
<br />
=== Design Bugs ===<br />
<br />
:oder wenn aus einem Marketing oder Usability Feature ein Sicherproblem entsteht...<br />
:In dem Vortrag werden "unpopuläre" Fehler besprochen, die während der Design Phase eines Entwicklungszykluses zu erkennen sind und entsprechend behandelt werden können. Diese Probleme werden durch veröffentlichte Vorfälle belegt und erörtert.<br />
<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum führenden und herstellerunabhängigen deutschen IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
<br />
=== JavaScript from Hell - advanced client side injection techniques of tomorrow ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Mario Heiderich''<br />
<br />
:folgt in Kürze <br />
<br />
=== Pentesting: Sitemap für Webanwendungen (Tools) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Achim Hoffmann''<br />
<br />
: folgt in Kürze<br />
<br />
=== Projektierung von Sicherheitsprüfungen von Web Applikationen ===<br />
<br />
:Die Prüfung der Sicherheit von Webanwendungen wird mittlerweile von vielen Unternehmen als erforderlicher Schritt anerkannt. Insbesondere für die erstmalige Prüfung ist es für den Betreiber von Webanwendungen schwierig, ein entsprechendes Projekt aufzusetzen. Es gilt, zum einen den Projektfokus sauber zu definieren, um eine Vergleichbarkeit von Angeboten zu erzielen und zum anderen die Expertise der Dienstleister möglichst transparent bewerten zu können. <br />
<br />
:Ziel dieses nicht-technischen Whitepapers ist die Darstellung von transparenten Methoden, um die Projektierung einer solchen Prüfung zu ermöglichen und den geeigneten Dienstleister zu finden. Am Whitepaper beteiligt sind sowohl Endkunden, als auch mehrere Dienstleister, so dass ein generisches Dokument entwickelt werden konnte.<br />
<br />
:''Über Tobias Glemser''<br />
<br />
: folgt in Kürze<br />
<br />
<br />
==== Veranstaltungsort ====<br />
<br />
=== Konferenzort ===<br />
CCN Ost CongressCenter Nürnberg<br />
<br />
Messezentrum<br />
<br />
90471 Nürnberg<br />
<br />
[http://www.congressing.de www.congressing.de]<br />
<br />
=== Vorträge ===<br />
<br />
Ebene 3, '''Raum Shanghai''' <br />
<br />
Das Come Together in den Pausen und die Ausstellung finden in der Galerie vor dem Raum Shanghai und dem Foyer Shanghai/Seoul statt.<br />
<br />
=== Anreise ===<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/auto/ Anreise mit dem Auto]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/bahn/ Anreise mit der Bahn und dem Öffentlichen Nahverkehr]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/flugzeug/ Anreise mit dem Flugzeug]<br />
<br />
=== NürnbergMOBIL ===<br />
<br />
'''[http://www.nuernbergmobil.de NürnbergMOBIL]''' bietet Informationen zu sämtlichen Verkehrsverbindungen, dem Stadtgeschehen und rund um den Tourismus in Nürnberg<br />
<br />
==== Vorabendveranstaltung ====<br />
<br />
Zwischen 19:30 und 20:00 Uhr geht es am Vorabend, dem 12.10.09, los! Alle Teilnehmer sind zum Kennenlernen, Erfahrungsaustausch, Kontakteknüpfen in lockerer Atmosphäre eingeladen (Bitte auf dem Anmeldeformular entsprechend vermerken). Für das leibliche Wohl ist gesorgt.<br />
<br />
<br />
'''Restaurant Steichele'''<br />
<br />
Knorrstraße 2-8 <br />
<br />
90402 Nürnberg <br />
<br />
Telefon: +49 (0) 911 20 22 8-0 <br />
Telefax: +49 (0) 911 22 19 14 <br />
<br />
<br />
[http://www.steichele.de Link zum Restaurant]<br />
<br />
[http://www.steichele.de/dokumente/wegbeschreibung_STEICHELE.pdf Anreise zum Restauant (pdf)]<br />
<br />
<br />
==== Anmeldung und Preise ====<br />
<br />
<br><br />
<br />
== Anmeldung und Preise ==<br />
<br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
<br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br />
<br />
Auf dem OWASP-Stand der [http://www.it-sa.de/ it-sa] erhalten Sie Informationen zur OWASP und können sich fachlich austauschen.<br />
<br />
<br />
Sie finden uns am '''Stand 6-712''' ([http://www.it-sa.de/hallenplan-it-sa-2009/ Hallenplan])<br />
<br />
<headertabs /></div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=68882OWASP AppSec Germany 2009 Conference2009-09-15T11:20:13Z<p>Ths: /* OWASP AppSec Conference Germany 2009 */</p>
<hr />
<div>__NOTOC__ <br />
<br />
= OWASP AppSec Conference Germany 2009 =<br />
<br />
[[Image:Germany.gif|right]]Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen. <br />
<br />
==== CfP (closed) ====<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete <br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungsframeworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
<br> '''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.''' <br />
<br />
<br> <br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br> <br />
<br />
=== Weitere Informationen ===<br />
<br />
*Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/ <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Kontakt: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision. <br />
<br />
<br> <br />
<br />
=== Topics of Interest ===<br />
<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security): <br />
<br />
*Technical talks with particular relevancy to practice. <br />
*Secure development frameworks and best practices <br />
*Security awareness programs for developers, testers, architects and business people <br />
*Security management of web based applications <br />
*Security management in outsourcing and off-shoring projects and operations <br />
*Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc. <br />
*OWASP in your enterprise or university <br />
*Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below). <br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc). <br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.''' <br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab. <br />
*Acceptance notification until 31st August, 2009. <br />
*Submission deadline for presentation slides (prefinal) 1st October, 2009 <br />
*'''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br> <br />
<br />
=== Additional information: ===<br />
<br />
*Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Contact: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
==== Agenda ====<br />
<br />
== Agenda ==<br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Montag, 12.10.09<br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 19:30-open end <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen. <br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen. <br />
<br />
--- Für das leibliche Wohl ist gesorgt. --- <br />
<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<br />
<br> <br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Dienstag, 13.10.09<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 08:30-09:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Registrierung und Kaffee<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:00-09:15 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Begrüßung'''<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:15-09:50 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Vorstellung des Open Web Application Security Project (OWASP) | '''Vorstellung des Open Web Application Security Project (OWASP)''']]<br />
<br />
''Dr. Boris Hemkemeier, Commerzbank''<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:50-10:25<br> <br />
| align="left" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
[[#OWASP Education Project | '''OWASP Education Project''']]<br />
<br />
''Martin Knobloch'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:25-10:45 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:45-11:20<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Praktische Erfahrung mit dem Secure Software Lifecycle | '''Praktische Erfahrung mit dem Secure Software Lifecycle''']]<br />
<br />
''Dr. Bruce Sams, OptimaBit GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:20-11:55 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen | '''Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen''']]<br />
<br />
''Sebastian Schinzel, Virtual Forge'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:55-12:30<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Adaptive Sicherheit durch Anomalieerkennung | '''Adaptive Sicherheit durch Anomalieerkennung''']]<br />
<br />
''Patrick Hammer, AdNovum Informatik AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 12:30-13:30 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Mittagspause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 13:30-14:05 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Design Bugs | '''Design Bugs''']]<br />
<br />
''Alexios Fakos, n.runs AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:05-14:40 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#JavaScript from Hell - advanced client side injection techniques of tomorrow | '''JavaScript from Hell - advanced client side injection techniques of tomorrow''']]<br />
<br />
''Mario Heiderich'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:40-15:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:00-15:35 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Pentesting: Sitemap für Webanwendungen (Tools) | '''Pentesting: Sitemap für Webanwendungen (Tools)''']]<br />
<br />
''Achim Hoffmann, SecureNet GmbH''<br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:35-16:10 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Projektierung von Sicherheitsprüfungen von Web Applikationen | '''Projektierung von Sicherheitsprüfungen von Web Applikationen''']]<br />
<br />
''Tobias Glemser, Tele-Consulting GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 16:10-16:25 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Schlusswort'''<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''<br>''</div> <br />
<br><br />
<br />
== Die Vorträge im Einzelnen ==<br />
<br />
=== Vorstellung des Open Web Application Security Project (OWASP) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier arbeitet als Senior Security Consultant bei der [http://www.commerzbank.de Commerzbank AG] und ist Board Member des German OWASP Chapters.<br />
<br />
=== OWASP Education Project ===<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Martin Knobloch''<br />
<br />
:folgt in Kürze <br />
<br />
=== Praktische Erfahrung mit dem Secure Software Lifecycle ===<br />
:Fast 80% aller bekannten Sicherheitslücken haben ihren Ursprung in Anwendungen oder Infrastruktur-Komponenten wie zum Beispiel Web-Server und Application Server. Dies gilt für alle Arten von Software, egal ob selbstentwickelt, extern entwickelt, oder out-of-the-box-Standard-Software. Bekannte einzelne Maßnahmen wie Penetrationstests, Audits, Code-Reviews, usw. können helfen, aber sie müssen als Teile des "Secure Software Lifecycle" integriert werden, um am wirksamsten sein. <br />
<br />
:In dieser Präsentation erfahren Sie mehr über die effektivste Strategie für die Schaffung eines funktionierenden „Secure Software Lifecycle“. Die Beispiele sind aus der Praxis der Umsetzung des „Secure Software Lifecycle“ bei großen deutschen Unternehmen in den letzten Jahren. Sie werden sehen, wie man Kosten und Nutzen abschätzen kann und werden verstehen, wie die komplexen Puzzleteile zusammenpassen. Auf der Grundlage von konkreten Beispielen, erhalten Sie ein "Big Picture" der Sicherung der Software vor, während und nach der Entwicklung. <br />
<br />
:''Über Dr. Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel. <br />
<br />
=== Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen ===<br />
<br />
:Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers (WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die Entwicklung. <br />
<br />
: In diesem Vortrag stelle ich vor, wie man sichere Web-Anwendungen mit BSP bzw. Web Dynpro ABAP entwickelt. Ich zeige weiterhin, wie Entwickler gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting, SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man die Schwachstellen im Laufe eines Code Audits entdecken kann.<br />
<br />
:''Über Sebastian Schinzel''<br />
<br />
:Sebastian Schinzel ist seit mehr als sechs Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsanwendungen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsanwendungen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. Er ist Co-Autor des Buchs "Sichere ABAP-Programmierung" (SAP-Press 2009).<br />
<br />
=== Adaptive Sicherheit durch Anomalieerkennung ===<br />
<br />
:Weil die Funktionalität von Webapplikation stetig ausgebaut wird und zunehmend auch kritische Daten und Geschäftsprozesse damit gehandhabt werden, gehören Angriffe auf Webapplikationen zu den grössten aktuellen Sicherheitsproblemen. Zum Schutz vor solchen Bedrohungen kommen Web-Application-Firewalls (WAFs) zum Zuge. Aktuelle Komponenten setzen dabei auf ein Blacklist- oder Whitelist-Modell, welches mittels konfigurierbarer Regelsets durchgesetzt wird. Neuere Entwicklungen im Bereich von Whitelisting wie etwa URL- oder Form-Encryption figurieren auch unter dem Begriff “dynamisches Whitelisting”. Diesen Ansätzen sind diverse Grenzen gesetzt: Der Konfigurationsbedarf wird aufgrund der Komplexität heutiger Web-Anwendungen deutlich erhöht, Blacklist-Ansätze sind machtlos gegen “Zero-Day Exploits”, und sämtliche heutigen Ansätze greifen bei “Rich Internet Applications” (RIAs) und AJAX-Applikationen zu kurz. So auch dynamisches Whitelisting, welches mit JavaScript generierte URLs, Forms und Cookies nicht oder nur begrenzt handhaben kann.<br />
<br />
:Neue, innovative Techniken versprechen jedoch Abhilfe: So können mittels Anomalieerkennung Attacken auch ohne komplexe Konfiguration erkannt werden und mittels einer vertieften Analyse des Request- und Response-Bodys ist es möglich, RIAs zu schützen. Ein solcher Ansatz wird von AdNovum verfolgt und in dieser Session vorgestellt.<br />
<br />
:''Über Patrick Hammer''<br />
<br />
:folgt in Kürze<br />
<br />
=== Design Bugs ===<br />
<br />
:oder wenn aus einem Marketing oder Usability Feature ein Sicherproblem entsteht...<br />
:In dem Vortrag werden "unpopuläre" Fehler besprochen, die während der Design Phase eines Entwicklungszykluses zu erkennen sind und entsprechend behandelt werden können. Diese Probleme werden durch veröffentlichte Vorfälle belegt und erörtert.<br />
<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum führenden und herstellerunabhängigen deutschen IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
<br />
=== JavaScript from Hell - advanced client side injection techniques of tomorrow ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Mario Heiderich''<br />
<br />
:folgt in Kürze <br />
<br />
=== Pentesting: Sitemap für Webanwendungen (Tools) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Achim Hoffmann''<br />
<br />
: folgt in Kürze<br />
<br />
=== Projektierung von Sicherheitsprüfungen von Web Applikationen ===<br />
<br />
:Die Prüfung der Sicherheit von Webanwendungen wird mittlerweile von vielen Unternehmen als erforderlicher Schritt anerkannt. Insbesondere für die erstmalige Prüfung ist es für den Betreiber von Webanwendungen schwierig, ein entsprechendes Projekt aufzusetzen. Es gilt, zum einen den Projektfokus sauber zu definieren, um eine Vergleichbarkeit von Angeboten zu erzielen und zum anderen die Expertise der Dienstleister möglichst transparent bewerten zu können. <br />
<br />
:Ziel dieses nicht-technischen Whitepapers ist die Darstellung von transparenten Methoden, um die Projektierung einer solchen Prüfung zu ermöglichen und den geeigneten Dienstleister zu finden. Am Whitepaper beteiligt sind sowohl Endkunden, als auch mehrere Dienstleister, so dass ein generisches Dokument entwickelt werden konnte.<br />
<br />
:''Über Tobias Glemser''<br />
<br />
: folgt in Kürze<br />
<br />
<br />
==== Veranstaltungsort ====<br />
<br />
==== Vorabendveranstaltung ====<br />
<br />
==== Anmeldung und Preise ====<br />
<br />
<br><br />
<br />
== Anmeldung und Preise ==<br />
<br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
<br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br />
<br />
Auf dem OWASP-Stand der [http://www.it-sa.de/ it-sa] erhalten Sie Informationen zur OWASP und können sich fachlich austauschen.<br />
<br />
<br />
Sie finden uns am '''Stand 6-712''' ([http://www.it-sa.de/hallenplan-it-sa-2009/ Hallenplan])<br />
<br />
<headertabs /></div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=68881OWASP AppSec Germany 2009 Conference2009-09-15T11:12:06Z<p>Ths: </p>
<hr />
<div>__NOTOC__ <br />
<br />
= OWASP AppSec Conference Germany 2009 =<br />
<br />
[[Image:Germany.gif|right]]Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen. <br />
<br />
==== CfP (closed) ====<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete <br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungsframeworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
<br> '''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.''' <br />
<br />
<br> <br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br> <br />
<br />
=== Weitere Informationen ===<br />
<br />
*Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/ <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Kontakt: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision. <br />
<br />
<br> <br />
<br />
=== Topics of Interest ===<br />
<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security): <br />
<br />
*Technical talks with particular relevancy to practice. <br />
*Secure development frameworks and best practices <br />
*Security awareness programs for developers, testers, architects and business people <br />
*Security management of web based applications <br />
*Security management in outsourcing and off-shoring projects and operations <br />
*Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc. <br />
*OWASP in your enterprise or university <br />
*Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below). <br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc). <br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.''' <br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab. <br />
*Acceptance notification until 31st August, 2009. <br />
*Submission deadline for presentation slides (prefinal) 1st October, 2009 <br />
*'''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br> <br />
<br />
=== Additional information: ===<br />
<br />
*Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Contact: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
==== Agenda ====<br />
<br />
== Agenda ==<br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Montag, 12.10.09<br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 19:30-open end <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen. <br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen. <br />
<br />
--- Für das leibliche Wohl ist gesorgt. --- <br />
<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<br />
<br> <br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Dienstag, 13.10.09<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 08:30-09:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Registrierung und Kaffee<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:00-09:15 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Begrüßung'''<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:15-09:50 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Vorstellung des Open Web Application Security Project (OWASP) | '''Vorstellung des Open Web Application Security Project (OWASP)''']]<br />
<br />
''Dr. Boris Hemkemeier, Commerzbank''<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:50-10:25<br> <br />
| align="left" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
[[#OWASP Education Project | '''OWASP Education Project''']]<br />
<br />
''Martin Knobloch'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:25-10:45 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:45-11:20<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Praktische Erfahrung mit dem Secure Software Lifecycle | '''Praktische Erfahrung mit dem Secure Software Lifecycle''']]<br />
<br />
''Dr. Bruce Sams, OptimaBit GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:20-11:55 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen | '''Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen''']]<br />
<br />
''Sebastian Schinzel, Virtual Forge'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:55-12:30<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Adaptive Sicherheit durch Anomalieerkennung | '''Adaptive Sicherheit durch Anomalieerkennung''']]<br />
<br />
''Patrick Hammer, AdNovum Informatik AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 12:30-13:30 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Mittagspause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 13:30-14:05 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Design Bugs | '''Design Bugs''']]<br />
<br />
''Alexios Fakos, n.runs AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:05-14:40 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#JavaScript from Hell - advanced client side injection techniques of tomorrow | '''JavaScript from Hell - advanced client side injection techniques of tomorrow''']]<br />
<br />
''Mario Heiderich'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:40-15:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:00-15:35 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Pentesting: Sitemap für Webanwendungen (Tools) | '''Pentesting: Sitemap für Webanwendungen (Tools)''']]<br />
<br />
''Achim Hoffmann, SecureNet GmbH''<br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:35-16:10 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Projektierung von Sicherheitsprüfungen von Web Applikationen | '''Projektierung von Sicherheitsprüfungen von Web Applikationen''']]<br />
<br />
''Tobias Glemser, Tele-Consulting GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 16:10-16:25 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Schlusswort'''<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''<br>''</div> <br />
<br><br />
<br />
== Die Vorträge im Einzelnen ==<br />
<br />
=== Vorstellung des Open Web Application Security Project (OWASP) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier arbeitet als Senior Security Consultant bei der [http://www.commerzbank.de Commerzbank AG] und ist Board Member des German OWASP Chapters.<br />
<br />
=== OWASP Education Project ===<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Martin Knobloch''<br />
<br />
:folgt in Kürze <br />
<br />
=== Praktische Erfahrung mit dem Secure Software Lifecycle ===<br />
:Fast 80% aller bekannten Sicherheitslücken haben ihren Ursprung in Anwendungen oder Infrastruktur-Komponenten wie zum Beispiel Web-Server und Application Server. Dies gilt für alle Arten von Software, egal ob selbstentwickelt, extern entwickelt, oder out-of-the-box-Standard-Software. Bekannte einzelne Maßnahmen wie Penetrationstests, Audits, Code-Reviews, usw. können helfen, aber sie müssen als Teile des "Secure Software Lifecycle" integriert werden, um am wirksamsten sein. <br />
<br />
:In dieser Präsentation erfahren Sie mehr über die effektivste Strategie für die Schaffung eines funktionierenden „Secure Software Lifecycle“. Die Beispiele sind aus der Praxis der Umsetzung des „Secure Software Lifecycle“ bei großen deutschen Unternehmen in den letzten Jahren. Sie werden sehen, wie man Kosten und Nutzen abschätzen kann und werden verstehen, wie die komplexen Puzzleteile zusammenpassen. Auf der Grundlage von konkreten Beispielen, erhalten Sie ein "Big Picture" der Sicherung der Software vor, während und nach der Entwicklung. <br />
<br />
:''Über Dr. Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel. <br />
<br />
=== Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen ===<br />
<br />
:Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers (WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die Entwicklung. <br />
<br />
: In diesem Vortrag stelle ich vor, wie man sichere Web-Anwendungen mit BSP bzw. Web Dynpro ABAP entwickelt. Ich zeige weiterhin, wie Entwickler gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting, SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man die Schwachstellen im Laufe eines Code Audits entdecken kann.<br />
<br />
:''Über Sebastian Schinzel''<br />
<br />
:Sebastian Schinzel ist seit mehr als sechs Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsanwendungen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsanwendungen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. Er ist Co-Autor des Buchs "Sichere ABAP-Programmierung" (SAP-Press 2009).<br />
<br />
=== Adaptive Sicherheit durch Anomalieerkennung ===<br />
<br />
:Weil die Funktionalität von Webapplikation stetig ausgebaut wird und zunehmend auch kritische Daten und Geschäftsprozesse damit gehandhabt werden, gehören Angriffe auf Webapplikationen zu den grössten aktuellen Sicherheitsproblemen. Zum Schutz vor solchen Bedrohungen kommen Web-Application-Firewalls (WAFs) zum Zuge. Aktuelle Komponenten setzen dabei auf ein Blacklist- oder Whitelist-Modell, welches mittels konfigurierbarer Regelsets durchgesetzt wird. Neuere Entwicklungen im Bereich von Whitelisting wie etwa URL- oder Form-Encryption figurieren auch unter dem Begriff “dynamisches Whitelisting”. Diesen Ansätzen sind diverse Grenzen gesetzt: Der Konfigurationsbedarf wird aufgrund der Komplexität heutiger Web-Anwendungen deutlich erhöht, Blacklist-Ansätze sind machtlos gegen “Zero-Day Exploits”, und sämtliche heutigen Ansätze greifen bei “Rich Internet Applications” (RIAs) und AJAX-Applikationen zu kurz. So auch dynamisches Whitelisting, welches mit JavaScript generierte URLs, Forms und Cookies nicht oder nur begrenzt handhaben kann.<br />
<br />
:Neue, innovative Techniken versprechen jedoch Abhilfe: So können mittels Anomalieerkennung Attacken auch ohne komplexe Konfiguration erkannt werden und mittels einer vertieften Analyse des Request- und Response-Bodys ist es möglich, RIAs zu schützen. Ein solcher Ansatz wird von AdNovum verfolgt und in dieser Session vorgestellt.<br />
<br />
:''Über Patrick Hammer''<br />
<br />
:folgt in Kürze<br />
<br />
=== Design Bugs ===<br />
<br />
:oder wenn aus einem Marketing oder Usability Feature ein Sicherproblem entsteht...<br />
:In dem Vortrag werden "unpopuläre" Fehler besprochen, die während der Design Phase eines Entwicklungszykluses zu erkennen sind und entsprechend behandelt werden können. Diese Probleme werden durch veröffentlichte Vorfälle belegt und erörtert.<br />
<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum führenden und herstellerunabhängigen deutschen IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
<br />
=== JavaScript from Hell - advanced client side injection techniques of tomorrow ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Mario Heiderich''<br />
<br />
:folgt in Kürze <br />
<br />
=== Pentesting: Sitemap für Webanwendungen (Tools) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Achim Hoffmann''<br />
<br />
: folgt in Kürze<br />
<br />
=== Projektierung von Sicherheitsprüfungen von Web Applikationen ===<br />
<br />
:Die Prüfung der Sicherheit von Webanwendungen wird mittlerweile von vielen Unternehmen als erforderlicher Schritt anerkannt. Insbesondere für die erstmalige Prüfung ist es für den Betreiber von Webanwendungen schwierig, ein entsprechendes Projekt aufzusetzen. Es gilt, zum einen den Projektfokus sauber zu definieren, um eine Vergleichbarkeit von Angeboten zu erzielen und zum anderen die Expertise der Dienstleister möglichst transparent bewerten zu können. <br />
<br />
:Ziel dieses nicht-technischen Whitepapers ist die Darstellung von transparenten Methoden, um die Projektierung einer solchen Prüfung zu ermöglichen und den geeigneten Dienstleister zu finden. Am Whitepaper beteiligt sind sowohl Endkunden, als auch mehrere Dienstleister, so dass ein generisches Dokument entwickelt werden konnte.<br />
<br />
:''Über Tobias Glemser''<br />
<br />
: folgt in Kürze<br />
<br />
<br />
==== Veranstaltungsort ====<br />
<br />
==== Vorabendveranstaltung ====<br />
<br />
==== Anmeldung und Preise ====<br />
<br />
<br><br />
<br />
== Anmeldung und Preise ==<br />
<br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
<br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br />
<headertabs /></div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=68701OWASP AppSec Germany 2009 Conference2009-09-09T17:22:53Z<p>Ths: /* Agenda */</p>
<hr />
<div>__NOTOC__ <br />
<br />
= OWASP AppSec Conference Germany 2009 =<br />
<br />
[[Image:Germany.gif|right]]Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen. <br />
<br />
==== Call for Presentations ====<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete <br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungsframeworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
<br> '''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.''' <br />
<br />
<br> <br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br> <br />
<br />
=== Weitere Informationen ===<br />
<br />
*Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/ <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Kontakt: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision. <br />
<br />
<br> <br />
<br />
=== Topics of Interest ===<br />
<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security): <br />
<br />
*Technical talks with particular relevancy to practice. <br />
*Secure development frameworks and best practices <br />
*Security awareness programs for developers, testers, architects and business people <br />
*Security management of web based applications <br />
*Security management in outsourcing and off-shoring projects and operations <br />
*Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc. <br />
*OWASP in your enterprise or university <br />
*Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below). <br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc). <br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.''' <br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab. <br />
*Acceptance notification until 31st August, 2009. <br />
*Submission deadline for presentation slides (prefinal) 1st October, 2009 <br />
*'''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br> <br />
<br />
=== Additional information: ===<br />
<br />
*Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Contact: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
==== Keynotes ====<br />
<br />
==== Agenda ====<br />
<br />
== Agenda ==<br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Montag, 12.10.09<br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 19:30-open end <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen. <br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen. <br />
<br />
--- Für das leibliche Wohl ist gesorgt. --- <br />
<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<br />
<br> <br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Dienstag, 13.10.09<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 08:30-09:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Registrierung und Kaffee<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:00-09:15 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Begrüßung'''<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:15-09:50 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Vorstellung des Open Web Application Security Project (OWASP) | '''Vorstellung des Open Web Application Security Project (OWASP)''']]<br />
<br />
''Dr. Boris Hemkemeier, Commerzbank''<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:50-10:25<br> <br />
| align="left" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
[[#OWASP Education Project | '''OWASP Education Project''']]<br />
<br />
''Martin Knobloch'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:25-10:45 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:45-11:20<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Praktische Erfahrung mit dem Secure Software Lifecycle | '''Praktische Erfahrung mit dem Secure Software Lifecycle''']]<br />
<br />
''Dr. Bruce Sams, OptimaBit GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:20-11:55 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen | '''Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen''']]<br />
<br />
''Sebastian Schinzel, Virtual Forge'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:55-12:30<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Adaptive Sicherheit durch Anomalieerkennung | '''Adaptive Sicherheit durch Anomalieerkennung''']]<br />
<br />
''Patrick Hammer, AdNovum Informatik AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 12:30-13:30 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Mittagspause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 13:30-14:05 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Design Bugs | '''Design Bugs''']]<br />
<br />
''Alexios Fakos, n.runs AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:05-14:40 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#JavaScript from Hell - advanced client side injection techniques of tomorrow | '''JavaScript from Hell - advanced client side injection techniques of tomorrow''']]<br />
<br />
''Mario Heiderich'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:40-15:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:00-15:35 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#7 Pentesting Tools für Webanwendungen | '''7 Pentesting Tools für Webanwendungen''']]<br />
<br />
''Achim Hoffmann, SecureNet GmbH''<br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:35-16:10 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Projektierung von Sicherheitsprüfungen von Web Applikationen | '''Projektierung von Sicherheitsprüfungen von Web Applikationen''']]<br />
<br />
''Tobias Glemser, Tele-Consulting GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 16:10-16:25 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Schlusswort'''<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''<br>''</div> <br />
<br> <br />
<br />
== Die Vorträge im Einzelnen ==<br />
<br />
=== Vorstellung des Open Web Application Security Project (OWASP) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier arbeitet als Senior Security Consultant bei der [http://www.commerzbank.de Commerzbank AG] und ist Board Member des German OWASP Chapters.<br />
<br />
=== OWASP Education Project ===<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Martin Knobloch''<br />
<br />
:folgt in Kürze <br />
<br />
=== Praktische Erfahrung mit dem Secure Software Lifecycle ===<br />
:Fast 80% aller bekannten Sicherheitslücken haben ihren Ursprung in Anwendungen oder Infrastruktur-Komponenten wie zum Beispiel Web-Server und Application Server. Dies gilt für alle Arten von Software, egal ob selbstentwickelt, extern entwickelt, oder out-of-the-box-Standard-Software. Bekannte einzelne Maßnahmen wie Penetrationstests, Audits, Code-Reviews, usw. können helfen, aber sie müssen als Teile des "Secure Software Lifecycle" integriert werden, um am wirksamsten sein. <br />
<br />
:In dieser Präsentation erfahren Sie mehr über die effektivste Strategie für die Schaffung eines funktionierenden „Secure Software Lifecycle“. Die Beispiele sind aus der Praxis der Umsetzung des „Secure Software Lifecycle“ bei großen deutschen Unternehmen in den letzten Jahren. Sie werden sehen, wie man Kosten und Nutzen abschätzen kann und werden verstehen, wie die komplexen Puzzleteile zusammenpassen. Auf der Grundlage von konkreten Beispielen, erhalten Sie ein "Big Picture" der Sicherung der Software vor, während und nach der Entwicklung. <br />
<br />
:''Über Dr. Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel. <br />
<br />
=== Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen ===<br />
<br />
:Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers (WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die Entwicklung. <br />
<br />
: In diesem Vortrag stelle ich vor, wie man sichere Web-Anwendungen mit BSP bzw. Web Dynpro ABAP entwickelt. Ich zeige weiterhin, wie Entwickler gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting, SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man die Schwachstellen im Laufe eines Code Audits entdecken kann.<br />
<br />
:''Über Sebastian Schinzel''<br />
<br />
:Sebastian Schinzel ist seit mehr als sechs Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsanwendungen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsanwendungen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. Er ist Co-Autor des Buchs "Sichere ABAP-Programmierung" (SAP-Press 2009).<br />
<br />
=== Adaptive Sicherheit durch Anomalieerkennung ===<br />
<br />
:Weil die Funktionalität von Webapplikation stetig ausgebaut wird und zunehmend auch kritische Daten und Geschäftsprozesse damit gehandhabt werden, gehören Angriffe auf Webapplikationen zu den grössten aktuellen Sicherheitsproblemen. Zum Schutz vor solchen Bedrohungen kommen Web-Application-Firewalls (WAFs) zum Zuge. Aktuelle Komponenten setzen dabei auf ein Blacklist- oder Whitelist-Modell, welches mittels konfigurierbarer Regelsets durchgesetzt wird. Neuere Entwicklungen im Bereich von Whitelisting wie etwa URL- oder Form-Encryption figurieren auch unter dem Begriff “dynamisches Whitelisting”. Diesen Ansätzen sind diverse Grenzen gesetzt: Der Konfigurationsbedarf wird aufgrund der Komplexität heutiger Web-Anwendungen deutlich erhöht, Blacklist-Ansätze sind machtlos gegen “Zero-Day Exploits”, und sämtliche heutigen Ansätze greifen bei “Rich Internet Applications” (RIAs) und AJAX-Applikationen zu kurz. So auch dynamisches Whitelisting, welches mit JavaScript generierte URLs, Forms und Cookies nicht oder nur begrenzt handhaben kann.<br />
<br />
:Neue, innovative Techniken versprechen jedoch Abhilfe: So können mittels Anomalieerkennung Attacken auch ohne komplexe Konfiguration erkannt werden und mittels einer vertieften Analyse des Request- und Response-Bodys ist es möglich, RIAs zu schützen. Ein solcher Ansatz wird von AdNovum verfolgt und in dieser Session vorgestellt.<br />
<br />
:''Über Patrick Hammer''<br />
<br />
:folgt in Kürze<br />
<br />
=== Design Bugs ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Alexios Fakos''<br />
<br />
:folgt in Kürze<br />
<br />
=== JavaScript from Hell - advanced client side injection techniques of tomorrow ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Mario Heiderich''<br />
<br />
:folgt in Kürze <br />
<br />
=== 7 Pentesting Tools für Webanwendungen ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Achim Hoffmann''<br />
<br />
: folgt in Kürze<br />
<br />
=== Projektierung von Sicherheitsprüfungen von Web Applikationen ===<br />
<br />
:Die Prüfung der Sicherheit von Webanwendungen wird mittlerweile von vielen Unternehmen als erforderlicher Schritt anerkannt. Insbesondere für die erstmalige Prüfung ist es für den Betreiber von Webanwendungen schwierig, ein entsprechendes Projekt aufzusetzen. Es gilt, zum einen den Projektfokus sauber zu definieren, um eine Vergleichbarkeit von Angeboten zu erzielen und zum anderen die Expertise der Dienstleister möglichst transparent bewerten zu können. <br />
<br />
:Ziel dieses nicht-technischen Whitepapers ist die Darstellung von transparenten Methoden, um die Projektierung einer solchen Prüfung zu ermöglichen und den geeigneten Dienstleister zu finden. Am Whitepaper beteiligt sind sowohl Endkunden, als auch mehrere Dienstleister, so dass ein generisches Dokument entwickelt werden konnte.<br />
<br />
:''Über Tobias Glemser''<br />
<br />
: folgt in Kürze<br />
<br />
<br />
==== Veranstaltungsort ====<br />
<br />
==== Vorabendveranstaltung ====<br />
<br />
==== Anmeldung und Preise ====<br />
<br />
<br><br />
<br />
== Anmeldung und Preise ==<br />
<br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
<br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br />
<headertabs /></div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=68699OWASP AppSec Germany 2009 Conference2009-09-09T16:27:44Z<p>Ths: /* Agenda */</p>
<hr />
<div>__NOTOC__ <br />
<br />
= OWASP AppSec Conference Germany 2009 =<br />
<br />
[[Image:Germany.gif|right]]Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen. <br />
<br />
==== Call for Presentations ====<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete <br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungsframeworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
<br> '''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.''' <br />
<br />
<br> <br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br> <br />
<br />
=== Weitere Informationen ===<br />
<br />
*Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/ <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Kontakt: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision. <br />
<br />
<br> <br />
<br />
=== Topics of Interest ===<br />
<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security): <br />
<br />
*Technical talks with particular relevancy to practice. <br />
*Secure development frameworks and best practices <br />
*Security awareness programs for developers, testers, architects and business people <br />
*Security management of web based applications <br />
*Security management in outsourcing and off-shoring projects and operations <br />
*Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc. <br />
*OWASP in your enterprise or university <br />
*Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below). <br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc). <br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.''' <br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab. <br />
*Acceptance notification until 31st August, 2009. <br />
*Submission deadline for presentation slides (prefinal) 1st October, 2009 <br />
*'''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br> <br />
<br />
=== Additional information: ===<br />
<br />
*Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Contact: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
==== Keynotes ====<br />
<br />
==== Agenda ====<br />
<br />
== Agenda ==<br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Montag, 12.10.09<br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 19:30-open end <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen. <br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen. <br />
<br />
--- Für das leibliche Wohl ist gesorgt. --- <br />
<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<br />
<br> <br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Dienstag, 13.10.09<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 08:30-09:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Registrierung und Kaffee<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:00-09:15 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Begrüßung'''<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:15-09:50 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
'''Vorstellung des Open Web Application Security Project (OWASP)'''<br />
<br />
''Dr. Boris Hemkemeier, Commerzbank''<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:50-10:25<br> <br />
| align="left" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
'''OWASP Education Project<br>'''''Martin Knobloch'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:25-10:45 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:45-11:20<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
'''Praktische Erfahrung mit dem Secure Software Lifecycle'''<br>''Dr. Bruce Sams, OptimaBit GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:20-11:55 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
'''Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen'''<br>''Sebastian Schinzel, Virtual Forge'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:55-12:30<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
'''Adaptive Sicherheit durch Anomalieerkennung'''<br>''Patrick Hammer, AdNovum Informatik AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 12:30-13:30 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Mittagspause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 13:30-14:05 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
'''Design Bugs'''<br>''Alexios Fakos, n.runs AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:05-14:40 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
'''JavaScript from Hell - advanced client side injection techniques of tomorrow'''<br>''Mario Heiderich'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:40-15:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:00-15:35 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
'''7 Pentesting Tools für Webanwendungen'''<br> ''Achim Hoffmann, SecureNet GmbH'''''<br>''' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:35-16:10 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
'''Projektierung von Sicherheitsprüfungen von Web Applikationen '''<br>''Tobias Glemser, Tele-Consulting GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 16:10-16:25 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Schlusswort'''<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''<br>''</div> <br />
<br> <br />
<br />
==== Veranstaltungsort ====<br />
<br />
==== Vorabendveranstaltung ====<br />
<br />
==== Anmeldung und Preise ====<br />
<br />
<br><br />
<br />
== Anmeldung und Preise ==<br />
<br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
<br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br />
<headertabs /></div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=68233OWASP AppSec Germany 2009 Conference2009-08-30T19:01:22Z<p>Ths: </p>
<hr />
<div>__NOTOC__ <br />
<br />
= OWASP AppSec Conference Germany 2009 =<br />
<br />
[[Image:Germany.gif|right]]Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen. <br />
<br />
==== Call for Presentations ====<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete <br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungsframeworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
<br> '''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.''' <br />
<br />
<br> <br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br> <br />
<br />
=== Weitere Informationen ===<br />
<br />
*Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/ <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Kontakt: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision. <br />
<br />
<br> <br />
<br />
=== Topics of Interest ===<br />
<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security): <br />
<br />
*Technical talks with particular relevancy to practice. <br />
*Secure development frameworks and best practices <br />
*Security awareness programs for developers, testers, architects and business people <br />
*Security management of web based applications <br />
*Security management in outsourcing and off-shoring projects and operations <br />
*Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc. <br />
*OWASP in your enterprise or university <br />
*Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below). <br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc). <br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.''' <br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab. <br />
*Acceptance notification until 31st August, 2009. <br />
*Submission deadline for presentation slides (prefinal) 1st October, 2009 <br />
*'''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br> <br />
<br />
=== Additional information: ===<br />
<br />
*Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Contact: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
==== Keynotes ====<br />
<br />
==== Agenda ====<br />
<br />
== Agenda ==<br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" colspan="3" | Montag, 12.10.09<br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 19:30-open end <br />
| align="center" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen. <br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen. <br />
<br />
--- Für das leibliche Wohl ist gesorgt. --- <br />
<br />
|-<br />
| align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" | OWASP Germany<br />
|}<br />
<br />
<br> <br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" colspan="3" | Dienstag, 13.10.09<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:00-09:30 <br />
| align="center" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | Registrierung und Kaffee<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:30-09:45 <br />
| align="left" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | '''Begrüßung'''<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 00:00-00:00 <br />
| style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <span style="text-decoration: underline;"><span style="font-weight: bold;">Presentation...</span></span> <br />
''Presenter...'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 00:00-00:00 <br />
| style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | Presentation...<br>Presenter...<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 00:00-00:00 <br />
| align="center" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | Kaffeepause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 00:00-00:00 <br />
| style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | Presentation...<br>Presenter...<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 00:00-00:00 <br />
| align="center" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | Mittagspause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 00:00-00:00 <br />
| style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | Presentation...<br>Presenter...<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 00:00-00:00 <br />
| style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
Präsentation... <br />
<br />
xxxPresenter...<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 00:00-00:00 <br />
| align="center" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | Kaffeepause<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 00:00-00:00 <br />
| style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
Präsentation... <br />
<br />
Presenter...<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 00:00-00:00 <br />
| style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
Präsentation... <br />
<br />
Presenter...<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 00:00-16:30 <br />
| align="left" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | '''Schlusswort'''<br />
|-<br />
| align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''<br>''</div> <br />
<br> <br />
<br />
==== Veranstaltungsort ====<br />
<br />
==== Vorabendveranstaltung ====<br />
<br />
==== Anmeldung und Preise ====<br />
<br />
== Anmeldung und Preise ==<br />
<br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
<br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br />
<headertabs /></div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=68122OWASP AppSec Germany 2009 Conference2009-08-27T20:12:51Z<p>Ths: /* Anmeldung */</p>
<hr />
<div>__NOTOC__<br />
<br />
= OWASP AppSec Conference Germany 2009 =<br />
[[image:Germany.gif|right]]Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen.<br />
<br />
==== Call for Presentations ====<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.<br />
<br />
<br />
=== Call for Presentations ===<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.<br />
Erwünschte Themengebiete<br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security:<br />
<br />
* Praxisrelevante technische Vorträge<br />
* Sichere Entwicklungsframeworks und Best Practices<br />
* Secure Development Lifecycle<br />
* Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber<br />
* Security Management von Anwendungen im Unternehmen<br />
* Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten<br />
* Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc.<br />
* OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.<br />
* Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss.<br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.<br />
<br />
<br />
'''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.'''<br />
<br />
<br />
=== Termine: ===<br />
* '''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte.<br />
* Benachrichtigung der Vortragenden 31.08.2009.<br />
* Einreichung der Foliensätze (prefinal) 01.10.2009<br />
* '''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br />
=== Weitere Informationen ===<br />
* Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference<br />
* Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/<br />
* OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement<br />
* Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br />
=== Kontakt: ===<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br />
=== Call for Presentations ===<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision.<br />
<br />
<br />
=== Topics of Interest ===<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security):<br />
<br />
* Technical talks with particular relevancy to practice.<br />
* Secure development frameworks and best practices<br />
* Security awareness programs for developers, testers, architects and business people<br />
* Security management of web based applications<br />
* Security management in outsourcing and off-shoring projects and operations<br />
* Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc.<br />
* OWASP in your enterprise or university<br />
* Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below).<br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc).<br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.'''<br />
<br />
<br />
=== Dates ===<br />
* '''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab.<br />
* Acceptance notification until 31st August, 2009.<br />
* Submission deadline for presentation slides (prefinal) 1st October, 2009<br />
* '''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br />
=== Additional information: ===<br />
* Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference<br />
* Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de<br />
* OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement<br />
* About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br />
=== Contact: ===<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
==== Keynotes ====<br />
==== Agenda ====<br />
==== Veranstaltungsort ====<br />
==== Vorabendveranstaltung ====<br />
==== Anmeldung und Preise ====<br />
== Anmeldung und Preise ==<br />
<br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br />
<headertabs /></div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=67638OWASP AppSec Germany 2009 Conference2009-08-17T07:50:10Z<p>Ths: /* Anmeldung und Preise */</p>
<hr />
<div>__NOTOC__<br />
<br />
= OWASP AppSec Conference Germany 2009 =<br />
<br />
Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen.<br />
<br />
==== Call for Presentations ====<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.<br />
<br />
<br />
=== Call for Presentations ===<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.<br />
Erwünschte Themengebiete<br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security:<br />
<br />
* Praxisrelevante technische Vorträge<br />
* Sichere Entwicklungsframeworks und Best Practices<br />
* Secure Development Lifecycle<br />
* Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber<br />
* Security Management von Anwendungen im Unternehmen<br />
* Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten<br />
* Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc.<br />
* OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.<br />
* Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss.<br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.<br />
<br />
<br />
'''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.'''<br />
<br />
<br />
=== Termine: ===<br />
* '''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte.<br />
* Benachrichtigung der Vortragenden 31.08.2009.<br />
* Einreichung der Foliensätze (prefinal) 01.10.2009<br />
* '''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br />
=== Weitere Informationen ===<br />
* Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference<br />
* Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/<br />
* OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement<br />
* Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br />
=== Kontakt: ===<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br />
=== Call for Presentations ===<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision.<br />
<br />
<br />
=== Topics of Interest ===<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security):<br />
<br />
* Technical talks with particular relevancy to practice.<br />
* Secure development frameworks and best practices<br />
* Security awareness programs for developers, testers, architects and business people<br />
* Security management of web based applications<br />
* Security management in outsourcing and off-shoring projects and operations<br />
* Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc.<br />
* OWASP in your enterprise or university<br />
* Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below).<br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc).<br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.'''<br />
<br />
<br />
=== Dates ===<br />
* '''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab.<br />
* Acceptance notification until 31st August, 2009.<br />
* Submission deadline for presentation slides (prefinal) 1st October, 2009<br />
* '''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br />
=== Additional information: ===<br />
* Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference<br />
* Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de<br />
* OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement<br />
* About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br />
=== Contact: ===<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
==== Keynotes ====<br />
==== Agenda ====<br />
==== Veranstaltungsort ====<br />
==== Vorabendveranstaltung ====<br />
==== Anmeldung und Preise ====<br />
== Anmeldung und Preise ==<br />
<br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[http://www.owasp.org/images/9/95/OWASP-AppSec-Germany-09-Anmeldung.pdf '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br />
<headertabs /></div>Thshttps://wiki.owasp.org/index.php?title=File:OWASP-AppSec-Germany-09-Anmeldung.pdf&diff=67637File:OWASP-AppSec-Germany-09-Anmeldung.pdf2009-08-17T07:45:22Z<p>Ths: </p>
<hr />
<div></div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=67415OWASP AppSec Germany 2009 Conference2009-08-10T16:48:54Z<p>Ths: </p>
<hr />
<div>__NOTOC__<br />
<br />
= OWASP AppSec Conference Germany 2009 =<br />
<br />
Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen.<br />
<br />
==== Call for Presentations ====<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.<br />
<br />
<br />
=== Call for Presentations ===<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.<br />
Erwünschte Themengebiete<br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security:<br />
<br />
* Praxisrelevante technische Vorträge<br />
* Sichere Entwicklungsframeworks und Best Practices<br />
* Secure Development Lifecycle<br />
* Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber<br />
* Security Management von Anwendungen im Unternehmen<br />
* Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten<br />
* Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc.<br />
* OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.<br />
* Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss.<br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.<br />
<br />
<br />
'''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.'''<br />
<br />
<br />
=== Termine: ===<br />
* '''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte.<br />
* Benachrichtigung der Vortragenden 31.08.2009.<br />
* Einreichung der Foliensätze (prefinal) 01.10.2009<br />
* '''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br />
=== Weitere Informationen ===<br />
* Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference<br />
* Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/<br />
* OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement<br />
* Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br />
=== Kontakt: ===<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br />
=== Call for Presentations ===<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision.<br />
<br />
<br />
=== Topics of Interest ===<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security):<br />
<br />
* Technical talks with particular relevancy to practice.<br />
* Secure development frameworks and best practices<br />
* Security awareness programs for developers, testers, architects and business people<br />
* Security management of web based applications<br />
* Security management in outsourcing and off-shoring projects and operations<br />
* Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc.<br />
* OWASP in your enterprise or university<br />
* Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below).<br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc).<br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.'''<br />
<br />
<br />
=== Dates ===<br />
* '''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab.<br />
* Acceptance notification until 31st August, 2009.<br />
* Submission deadline for presentation slides (prefinal) 1st October, 2009<br />
* '''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br />
=== Additional information: ===<br />
* Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference<br />
* Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de<br />
* OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement<br />
* About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br />
=== Contact: ===<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
==== Keynotes ====<br />
==== Agenda ====<br />
==== Veranstaltungsort ====<br />
==== Vorabendveranstaltung ====<br />
==== Anmeldung und Preise ====<br />
== Anmeldung und Preise ==<br />
<br />
Bitte melden Sie sich über '''[dieses Formular]''' (Anmeldelink wird in Kürze freigegeben) an. <br />
<br />
<br> '''Preise:''' <br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
==== OWASP Messestand ====<br />
<headertabs/></div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=67414OWASP AppSec Germany 2009 Conference2009-08-10T16:41:53Z<p>Ths: Undo revision 67413 by Ths (Talk)</p>
<hr />
<div>__NOTOC__<br />
<br />
= OWASP AppSec Conference Germany 2009 =<br />
<br />
Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen.<br />
<br />
==== Call for Presentations ====<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.<br />
<br />
<br />
=== Call for Presentations ===<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.<br />
Erwünschte Themengebiete<br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security:<br />
<br />
* Praxisrelevante technische Vorträge<br />
* Sichere Entwicklungsframeworks und Best Practices<br />
* Secure Development Lifecycle<br />
* Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber<br />
* Security Management von Anwendungen im Unternehmen<br />
* Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten<br />
* Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc.<br />
* OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.<br />
* Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss.<br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.<br />
<br />
<br />
'''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.'''<br />
<br />
<br />
=== Termine: ===<br />
* '''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte.<br />
* Benachrichtigung der Vortragenden 31.08.2009.<br />
* Einreichung der Foliensätze (prefinal) 01.10.2009<br />
* '''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br />
=== Weitere Informationen ===<br />
* Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference<br />
* Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/<br />
* OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement<br />
* Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br />
=== Kontakt: ===<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br />
=== Call for Presentations ===<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision.<br />
<br />
<br />
=== Topics of Interest ===<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security):<br />
<br />
* Technical talks with particular relevancy to practice.<br />
* Secure development frameworks and best practices<br />
* Security awareness programs for developers, testers, architects and business people<br />
* Security management of web based applications<br />
* Security management in outsourcing and off-shoring projects and operations<br />
* Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc.<br />
* OWASP in your enterprise or university<br />
* Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below).<br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc).<br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.'''<br />
<br />
<br />
=== Dates ===<br />
* '''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab.<br />
* Acceptance notification until 31st August, 2009.<br />
* Submission deadline for presentation slides (prefinal) 1st October, 2009<br />
* '''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br />
=== Additional information: ===<br />
* Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference<br />
* Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de<br />
* OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement<br />
* About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br />
=== Contact: ===<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
==== Keynotes ====<br />
==== Agenda ====<br />
==== Veranstaltungsort ====<br />
==== Vorabendveranstaltung ====<br />
Weitere Einzelheiten und die Agenda werden bekannt gegeben, sobald sie abgestimmt sind.<br />
==== OWASP Messestand ====<br />
<headertabs/></div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=67413OWASP AppSec Germany 2009 Conference2009-08-10T16:38:13Z<p>Ths: /* Termine: */</p>
<hr />
<div>__NOTOC__<br />
<br />
= OWASP AppSec Conference Germany 2009 =<br />
<br />
Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen.<br />
<br />
==== Call for Presentations ====<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.<br />
<br />
<br />
=== Call for Presentations ===<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.<br />
Erwünschte Themengebiete<br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security:<br />
<br />
* Praxisrelevante technische Vorträge<br />
* Sichere Entwicklungsframeworks und Best Practices<br />
* Secure Development Lifecycle<br />
* Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber<br />
* Security Management von Anwendungen im Unternehmen<br />
* Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten<br />
* Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc.<br />
* OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.<br />
* Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss.<br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.<br />
<br />
<br />
'''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.'''<br />
<br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
== Anmeldung und Preise ==<br />
<br />
Bitte melden Sie sich über '''[dieses Formular]''' (Anmeldelink wird in Kürze freigegeben) an. <br />
<br />
<br> '''Preise:''' <br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
<br><br />
<br />
=== Weitere Informationen ===<br />
* Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference<br />
* Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/<br />
* OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement<br />
* Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br />
=== Kontakt: ===<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br />
=== Call for Presentations ===<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision.<br />
<br />
<br />
=== Topics of Interest ===<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security):<br />
<br />
* Technical talks with particular relevancy to practice.<br />
* Secure development frameworks and best practices<br />
* Security awareness programs for developers, testers, architects and business people<br />
* Security management of web based applications<br />
* Security management in outsourcing and off-shoring projects and operations<br />
* Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc.<br />
* OWASP in your enterprise or university<br />
* Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below).<br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc).<br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.'''<br />
<br />
<br />
=== Dates ===<br />
* '''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab.<br />
* Acceptance notification until 31st August, 2009.<br />
* Submission deadline for presentation slides (prefinal) 1st October, 2009<br />
* '''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br />
=== Additional information: ===<br />
* Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference<br />
* Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de<br />
* OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement<br />
* About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br />
=== Contact: ===<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
==== Keynotes ====<br />
==== Agenda ====<br />
==== Veranstaltungsort ====<br />
==== Vorabendveranstaltung ====<br />
Weitere Einzelheiten und die Agenda werden bekannt gegeben, sobald sie abgestimmt sind.<br />
==== OWASP Messestand ====<br />
<headertabs/></div>Thshttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=65708OWASP AppSec Germany 2009 Conference2009-07-10T14:43:23Z<p>Ths: Created page with 'Die OWASP AppSec Germany 2009 Conference wird am 13.10.09 mit einer Vorabendveranstalung am 12.10.09 in Nürnberg stattfinden. (The OWASP AppSec Germany Germany 2009 conference …'</p>
<hr />
<div>Die OWASP AppSec Germany 2009 Conference wird am 13.10.09 mit einer Vorabendveranstalung am 12.10.09 in Nürnberg stattfinden.<br />
<br />
(The OWASP AppSec Germany Germany 2009 conference will be held on October 13, 2009 in Nürnberg)<br />
<br />
Weitere Einzelheiten und die Agenda werden bekannt gegeben, sobald sie abgestimmt sind.</div>Thshttps://wiki.owasp.org/index.php?title=Germany&diff=65707Germany2009-07-10T14:42:12Z<p>Ths: </p>
<hr />
<div>{{Chapter Template|chaptername=Germany|extra=The chapter leaders are [mailto:ts@securenet.de Thomas Schreiber] and [mailto:Georg.Hess@artofdefence.com Georg Heß]. Chapter Board members are: Holger Heimann and [mailto:boris@owasp.org Boris Hemkemeier]. |mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-germany|emailarchives=http://lists.owasp.org/pipermail/owasp-germany}}<br />
<br />
== Donate ==<br />
<paypal>Germany</paypal><br />
<br />
<br />
== <span style="color:red">'''NEW''': </span> Next OWASP German Chapter Meeting 10th July, 2009 at Mannheim ==<br />
<br />
'''Summary:''' We will start with three interesting fresh talks. The following topics are the next activities of the OWASP German Chapter: the new "Stammtisch Initiative" and the planning of the OWASP AppSec Germany 2009 at Nuremberg.<br />
<br />
'''Location:''' Aula of the [http://www.hs-mannheim.de Hochschule Mannheim], Building 3, Paul-Wittsack-Strasse 10, Mannheim ([http://maps.google.de/maps?f=d&source=s_d&saddr=Mannheim+Hbf&daddr=49.471303,8.48372&geocode=Fbr-8gIduTmBAA%3B&hl=de&mra=dme&mrcr=0&mrsp=1&sz=15&sll=49.474885,8.474715&sspn=0.015532,0.050254&ie=UTF8&z=15 Google Maps]). Please download the [http://www.hs-mannheim.de/campus/grafik/campusplan_legende_web.pdf campus map].<br />
<br />
<br><br />
'''Agenda:''' <br />
<br />
12:00 - 13:00 : Lunch (optional, '''please send an email to [mailto:Georg.Hess@artofdefence.com?subject=OWASP%20Chapter%20Meeting%20Lunch%20registration Georg Heß] to register for lunch'''), meeting point for the lunch is at the Aula in Building 3. <br />
<br />
13:15 - 13:30 : Opening by our host Prof. Rainer Gerten (German)<br />
<br />
13:30 - 14:30 : OWASP Educational Services - Teaching Security!, Martin Knobloch, Member of OWASP Global Education Committee (English)<br />
<br />
14:30 - 15:00 : Vorstellung und aktueller Stand des OWASP Germany Projekts "Best Practice: Projektierung von Sicherheitsprüfungen von Web Applikationen", N.N., Projekt-Mitarbeiter (German)<br />
<br />
15:00 - 15:45 : Cloud Application Security - Chancen und Risiken - Einige Ansatzpunkte zum Thema, Georg Hess (German)<br />
<br />
15:45 - 16:15 : Coffee<br />
<br />
16:15 - 17:00 : Organisational topics of the OWASP German Chapter (German)<br />
- OWASP Stammtisch Initiative <br />
- Outlook and organisational tasks for the 2nd [[OWASP Germany 2009 Conference]]<br />
<br />
nach 17:00 : Come together (Any ideas for a near pub??) <br />
<br />
<br><br />
<br />
== OWASP AppSec Germany 2009 Conference 13.10.09 in Nürnberg ==<br />
Die [[OWASP AppSec Germany 2009 Conference]] wird am 13.10.09 mit einer Vorabendveranstalung am 12.10.09 in Nürnberg stattfinden.<br />
<br />
(The OWASP AppSec Germany 2009 conference will be held on October 13, 2009 in Nürnberg)<br />
<br />
<br />
== Past Events ==<br />
<br />
=== Wir sind auf der SYSTEMS 08 in München ===<br />
<br />
Besuchen Sie uns vom 21.10. - 24.10.08 in der <br />
<br />
:'''IT-SecurityArea - Halle B3, Stand 228'''<br />
<br />
<br />
=== OWASP Germany 2008 Conference 25.11.08 in Frankfurt ===<br />
Die [[OWASP Germany 2008 Conference]] wird am 25.11.08 mit einer Vorabendveranstalung am 24.11.08 in Frankfurt stattfinden.<br />
<br />
(The OWASP Germany 2008 conference will be held on November 25, 2008 in Frankfurt.)<br />
<br />
=== OWASP German Chapter Meeting - February 20th, 2008 in Darmstadt ===<br />
'''Date: February 20th, 2008, 11:00-16:15'''<br><br />
'''Location: Darmstadt, CAST (http://www.cast-forum.de)'''<br><br />
Fraunhoferstr. 5 (vormals Rundeturmstr. 6) - EG Room 072 - [http://www.cast-forum.de/workshops/anfahrt.html Anfahrt]<br><br />
<br><br />
<br />
The next chapter meeting will be hosted at CAST in Darmstadt.<br><br />
This time the focus is on technical presentations and discussion. <br><br />
<br><br />
'''Agenda''' <br />
Technical presentation slots will consist of 20-30 minute presentation and 15 minute discussion. <br />
* 1. (11:00 - 11:15) Welcome, Introduction and Administrativia <br />
* 2. (11:15 - 11:30) Vorstellung von CAST (Dr. Heinemann)<br />
* 3. (11:30 - 11:45) Short OWASP organisation introduction and update (Tobias Gondrom)<br />
* 4. (11:45 - 12:30) First technical presentation "Best Practices beim Einsatz einer Web Application Firewall 1.0" (Slides: [http://www.owasp.org/images/1/1b/WAF-Paper.pdf PDF]) (Alexander Meisel) <br />
* 5. (12:30 - 13:15) Break<br />
* 6. (13:15 - 14:00) Second technical presentation "Defending against Web Application DoS Attacks" (Maximilian Dermann)<br />
* 7. (14:00 - 14:45) 20-Minutes Talks (15 Min Presentation + 5-10 Min Discuss) <br />
** "Input validation in ASP.NET -- tips, tricks & pitfalls" (Boris Hemkemeier)<br />
** "Managing of extremely large Web Application Firewall Installations" (Slides: [http://www.owasp.org/images/f/f6/VeryLargeWAFs.pdf PDF]) (Alexander Meisel)<br />
* 8. (14:45 - 15:00) Coffee Break<br />
* 9. (15:00 - 15:45) Fourth technical presentation "Secure Coding and Development Guidelines (part of CLASP)" (Tobias)<br />
* 10. (15:45 - 16:00) Wrap-up and outlook <br />
<br><br />
<br />
=== Chapter Meeting on September 7th 2007 in Frankfurt/Main ===<br />
<br />
After two years of absence the German Chapter has been restarted. The chapter meeting was on September 7th 2007, 15:00 - 18:00.<br />
<br />
This first chapter meeting had as its main goal the re-initiation of the German chapter and to start work on projects. Talks and presentations are secondary and will receive more focus at subsequent meetings.<br />
<br />
''' [https://lists.owasp.org/pipermail/owasp-germany/2007-September/000038.html Read meeting notes/minutes here]'''<br />
<br />
<br />
<br />
====comments====<br />
<br />
If you want to participate in the work of the German OWASP chapter or offer to submit work to it and cannot attend the meeting, please contact [[user:tgondrom| Tobias]] or send an email to our [mailto:owasp-germany@lists.owasp.org chapter mailing list (now working!)].<br />
<br />
<br />
==Press Relations==<br />
<br />
Press Relations of the OWASP German Chapter are currently directed exclusively towards the local press. We therefore do not provide english translations. .<br />
<br />
* [http://www.owasp.org/index.php?title=Germany/press Press relations] <br />
<br />
== Local News ==<br />
* 10 September 2008: [[Best_Practices:_Web_Application_Firewalls | Best Practices: Web Application Firewalls wiki pages]]<br />
* 17 July 2008: OWASP Germany released [https://www.owasp.org/images/a/a6/Best_Practices_Guide_WAF_v104.en.pdf Best Practices: Use of Web Application Firewalls (English)]<br />
<!-- https://www.owasp.org/index.php/Image:Best_Practices_Guide_WAF_v104.en.pdf --><br />
* 18 March 2008: OWASP Germany released [http://www.owasp.org/images/1/1b/Best_Practices_Guide_WAF.pdf Best Practices: Einsatz von Web Application Firewalls (German)]<br />
* 07 September 2007: Chapter meeting in Frankfurt<br />
* 18 July 2007: scheduled chapter meeting on September 7th 2007<br />
* 02 Mar 2007: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.bund.de/fachthem/betriebssysteme/indigo/index.htm#indigoen Indigo Security] (engl: 'Indigo Security').<br />
<br />
* 23 Feb 2007: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.de/literat/studien/tomcat/index.htm Apache Tomcat Sicherheitsuntersuchung] (engl: 'Apache Tomcat Security Assessment').<br />
<br />
* 06 Sept 2006: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.de/literat/studien/websec/WebSec.pdf Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen] (engl: 'Measures and Best Practices for Web Application Security').<br />
<br />
'''OWASP Moves to MediaWiki Portal - 11:05, 20 May 2006 (EDT)'''<br />
<br />
OWASP is pleased to announce the arrival of OWASP 2.0!<br />
<br />
OWASP 2.0 utilizes the MediaWiki portal to manage and provide<br />
the latest OWASP related information. Enjoy!<br />
<br />
[[Category:Germany]]</div>Thshttps://wiki.owasp.org/index.php?title=Germany&diff=65639Germany2009-07-09T13:47:42Z<p>Ths: /* NEW: Next OWASP German Chapter Meeting 10th July, 2009 at Mannheim */</p>
<hr />
<div>{{Chapter Template|chaptername=Germany|extra=The chapter leaders are [mailto:ts@securenet.de Thomas Schreiber] and [mailto:Georg.Hess@artofdefence.com Georg Heß]. Chapter Board members are: Holger Heimann and [mailto:boris@owasp.org Boris Hemkemeier]. |mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-germany|emailarchives=http://lists.owasp.org/pipermail/owasp-germany}}<br />
<br />
== Donate ==<br />
<paypal>Germany</paypal><br />
<br />
<br />
== <span style="color:red">'''NEW''': </span> Next OWASP German Chapter Meeting 10th July, 2009 at Mannheim ==<br />
<br />
'''Summary:''' We will start with three interesting fresh talks. The following topics are the next activities of the OWASP German Chapter: the new "Stammtisch Initiative" and the planning of the OWASP AppSec Germany 2009 at Nuremberg.<br />
<br />
'''Location:''' Aula of the [http://www.hs-mannheim.de Hochschule Mannheim], Building 3, Paul-Wittsack-Strasse 10, Mannheim ([http://maps.google.de/maps?f=d&source=s_d&saddr=Mannheim+Hbf&daddr=49.471303,8.48372&geocode=Fbr-8gIduTmBAA%3B&hl=de&mra=dme&mrcr=0&mrsp=1&sz=15&sll=49.474885,8.474715&sspn=0.015532,0.050254&ie=UTF8&z=15 Google Maps]). Please download the [http://www.hs-mannheim.de/campus/grafik/campusplan_legende_web.pdf campus map].<br />
<br />
<br><br />
'''Agenda:''' <br />
<br />
12:00 - 13:00 : Lunch (optional, '''please send an email to [mailto:Georg.Hess@artofdefence.com?subject=OWASP%20Chapter%20Meeting%20Lunch%20registration Georg Heß] to register for lunch'''), meeting point for the lunch is at the Aula in Building 3. <br />
<br />
13:15 - 13:30 : Opening by our host Prof. Rainer Gerten (German)<br />
<br />
13:30 - 14:30 : OWASP Educational Services - Teaching Security!, Martin Knobloch, Member of OWASP Global Education Committee (English)<br />
<br />
14:30 - 15:00 : Vorstellung und aktueller Stand des OWASP Germany Projekts "Best Practice: Projektierung von Sicherheitsprüfungen von Web Applikationen", N.N., Projekt-Mitarbeiter (German)<br />
<br />
15:00 - 15:45 : Cloud Application Security - Chancen und Risiken - Einige Ansatzpunkte zum Thema, Georg Hess (German)<br />
<br />
15:45 - 16:15 : Coffee<br />
<br />
16:15 - 17:00 : Organisational topics of the OWASP German Chapter (German)<br />
- OWASP Stammtisch Initiative <br />
- Outlook and organisational tasks for the 2nd [[OWASP Germany 2009 Conference]]<br />
<br />
nach 17:00 : Come together (Any ideas for a near pub??) <br />
<br />
<br><br />
<br />
== OWASP Germany 2009 Conference 13.10.09 in Nürnberg ==<br />
Die [[OWASP Germany 2009 Conference]] wird am 13.10.09 mit einer Vorabendveranstalung am 12.10.09 in Nürnberg stattfinden.<br />
<br />
(The OWASP Germany 2009 conference will be held on October 13, 2009 in Nürnberg)<br />
<br />
<br />
== Past Events ==<br />
<br />
=== Wir sind auf der SYSTEMS 08 in München ===<br />
<br />
Besuchen Sie uns vom 21.10. - 24.10.08 in der <br />
<br />
:'''IT-SecurityArea - Halle B3, Stand 228'''<br />
<br />
<br />
=== OWASP Germany 2008 Conference 25.11.08 in Frankfurt ===<br />
Die [[OWASP Germany 2008 Conference]] wird am 25.11.08 mit einer Vorabendveranstalung am 24.11.08 in Frankfurt stattfinden.<br />
<br />
(The OWASP Germany 2008 conference will be held on November 25, 2008 in Frankfurt.)<br />
<br />
=== OWASP German Chapter Meeting - February 20th, 2008 in Darmstadt ===<br />
'''Date: February 20th, 2008, 11:00-16:15'''<br><br />
'''Location: Darmstadt, CAST (http://www.cast-forum.de)'''<br><br />
Fraunhoferstr. 5 (vormals Rundeturmstr. 6) - EG Room 072 - [http://www.cast-forum.de/workshops/anfahrt.html Anfahrt]<br><br />
<br><br />
<br />
The next chapter meeting will be hosted at CAST in Darmstadt.<br><br />
This time the focus is on technical presentations and discussion. <br><br />
<br><br />
'''Agenda''' <br />
Technical presentation slots will consist of 20-30 minute presentation and 15 minute discussion. <br />
* 1. (11:00 - 11:15) Welcome, Introduction and Administrativia <br />
* 2. (11:15 - 11:30) Vorstellung von CAST (Dr. Heinemann)<br />
* 3. (11:30 - 11:45) Short OWASP organisation introduction and update (Tobias Gondrom)<br />
* 4. (11:45 - 12:30) First technical presentation "Best Practices beim Einsatz einer Web Application Firewall 1.0" (Slides: [http://www.owasp.org/images/1/1b/WAF-Paper.pdf PDF]) (Alexander Meisel) <br />
* 5. (12:30 - 13:15) Break<br />
* 6. (13:15 - 14:00) Second technical presentation "Defending against Web Application DoS Attacks" (Maximilian Dermann)<br />
* 7. (14:00 - 14:45) 20-Minutes Talks (15 Min Presentation + 5-10 Min Discuss) <br />
** "Input validation in ASP.NET -- tips, tricks & pitfalls" (Boris Hemkemeier)<br />
** "Managing of extremely large Web Application Firewall Installations" (Slides: [http://www.owasp.org/images/f/f6/VeryLargeWAFs.pdf PDF]) (Alexander Meisel)<br />
* 8. (14:45 - 15:00) Coffee Break<br />
* 9. (15:00 - 15:45) Fourth technical presentation "Secure Coding and Development Guidelines (part of CLASP)" (Tobias)<br />
* 10. (15:45 - 16:00) Wrap-up and outlook <br />
<br><br />
<br />
=== Chapter Meeting on September 7th 2007 in Frankfurt/Main ===<br />
<br />
After two years of absence the German Chapter has been restarted. The chapter meeting was on September 7th 2007, 15:00 - 18:00.<br />
<br />
This first chapter meeting had as its main goal the re-initiation of the German chapter and to start work on projects. Talks and presentations are secondary and will receive more focus at subsequent meetings.<br />
<br />
''' [https://lists.owasp.org/pipermail/owasp-germany/2007-September/000038.html Read meeting notes/minutes here]'''<br />
<br />
<br />
<br />
====comments====<br />
<br />
If you want to participate in the work of the German OWASP chapter or offer to submit work to it and cannot attend the meeting, please contact [[user:tgondrom| Tobias]] or send an email to our [mailto:owasp-germany@lists.owasp.org chapter mailing list (now working!)].<br />
<br />
<br />
==Press Relations==<br />
<br />
Press Relations of the OWASP German Chapter are currently directed exclusively towards the local press. We therefore do not provide english translations. .<br />
<br />
* [http://www.owasp.org/index.php?title=Germany/press Press relations] <br />
<br />
== Local News ==<br />
* 10 September 2008: [[Best_Practices:_Web_Application_Firewalls | Best Practices: Web Application Firewalls wiki pages]]<br />
* 17 July 2008: OWASP Germany released [https://www.owasp.org/images/a/a6/Best_Practices_Guide_WAF_v104.en.pdf Best Practices: Use of Web Application Firewalls (English)]<br />
<!-- https://www.owasp.org/index.php/Image:Best_Practices_Guide_WAF_v104.en.pdf --><br />
* 18 March 2008: OWASP Germany released [http://www.owasp.org/images/1/1b/Best_Practices_Guide_WAF.pdf Best Practices: Einsatz von Web Application Firewalls (German)]<br />
* 07 September 2007: Chapter meeting in Frankfurt<br />
* 18 July 2007: scheduled chapter meeting on September 7th 2007<br />
* 02 Mar 2007: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.bund.de/fachthem/betriebssysteme/indigo/index.htm#indigoen Indigo Security] (engl: 'Indigo Security').<br />
<br />
* 23 Feb 2007: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.de/literat/studien/tomcat/index.htm Apache Tomcat Sicherheitsuntersuchung] (engl: 'Apache Tomcat Security Assessment').<br />
<br />
* 06 Sept 2006: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.de/literat/studien/websec/WebSec.pdf Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen] (engl: 'Measures and Best Practices for Web Application Security').<br />
<br />
'''OWASP Moves to MediaWiki Portal - 11:05, 20 May 2006 (EDT)'''<br />
<br />
OWASP is pleased to announce the arrival of OWASP 2.0!<br />
<br />
OWASP 2.0 utilizes the MediaWiki portal to manage and provide<br />
the latest OWASP related information. Enjoy!<br />
<br />
[[Category:Germany]]</div>Thshttps://wiki.owasp.org/index.php?title=Germany&diff=64325Germany2009-06-17T18:54:07Z<p>Ths: </p>
<hr />
<div>{{Chapter Template|chaptername=Germany|extra=The chapter leaders are [mailto:ts@securenet.de Thomas Schreiber] and [mailto:Georg.Hess@artofdefence.com Georg Heß]. Chapter Board members are: Holger Heimann and [mailto:boris@owasp.org Boris Hemkemeier]. |mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-germany|emailarchives=http://lists.owasp.org/pipermail/owasp-germany}}<br />
<br />
== Donate ==<br />
<paypal>Germany</paypal><br />
<br />
<br />
== Next OWASP German Chapter Meeting ==<br />
<br />
'''Date:''' Freitag, 10. Juli 2009 - ab 13:00 Uhr<br><br />
'''Location:''' Hochschule MANNHEIM - Details folgen noch rechtzeitig<br><br />
'''Agenda:''' tbc <br />
<br><br />
<br />
<br />
== OWASP Germany 2009 Conference 13.10.09 in Nürnberg ==<br />
Die [[OWASP Germany 2009 Conference]] wird am 13.10.09 mit einer Vorabendveranstalung am 12.10.09 in Nürnberg stattfinden.<br />
<br />
(The OWASP Germany 2009 conference will be held on October 13, 2009 in Nürnberg)<br />
<br />
<br />
== Past Events ==<br />
<br />
=== Wir sind auf der SYSTEMS 08 in München ===<br />
<br />
Besuchen Sie uns vom 21.10. - 24.10.08 in der <br />
<br />
:'''IT-SecurityArea - Halle B3, Stand 228'''<br />
<br />
<br />
=== OWASP Germany 2008 Conference 25.11.08 in Frankfurt ===<br />
Die [[OWASP Germany 2008 Conference]] wird am 25.11.08 mit einer Vorabendveranstalung am 24.11.08 in Frankfurt stattfinden.<br />
<br />
(The OWASP Germany 2008 conference will be held on November 25, 2008 in Frankfurt.)<br />
<br />
=== OWASP German Chapter Meeting - February 20th in Darmstadt ===<br />
'''Date: February 20th, 2007, 11:00-16:15'''<br><br />
'''Location: Darmstadt, CAST (http://www.cast-forum.de)'''<br><br />
Fraunhoferstr. 5 (vormals Rundeturmstr. 6) - EG Room 072 - [http://www.cast-forum.de/workshops/anfahrt.html Anfahrt]<br><br />
<br><br />
<br />
The next chapter meeting will be hosted at CAST in Darmstadt.<br><br />
This time the focus is on technical presentations and discussion. <br><br />
<br><br />
'''Agenda''' <br />
Technical presentation slots will consist of 20-30 minute presentation and 15 minute discussion. <br />
* 1. (11:00 - 11:15) Welcome, Introduction and Administrativia <br />
* 2. (11:15 - 11:30) Vorstellung von CAST (Dr. Heinemann)<br />
* 3. (11:30 - 11:45) Short OWASP organisation introduction and update (Tobias Gondrom)<br />
* 4. (11:45 - 12:30) First technical presentation "Best Practices beim Einsatz einer Web Application Firewall 1.0" (Slides: [http://www.owasp.org/images/1/1b/WAF-Paper.pdf PDF]) (Alexander Meisel) <br />
* 5. (12:30 - 13:15) Break<br />
* 6. (13:15 - 14:00) Second technical presentation "Defending against Web Application DoS Attacks" (Maximilian Dermann)<br />
* 7. (14:00 - 14:45) 20-Minutes Talks (15 Min Presentation + 5-10 Min Discuss) <br />
** "Input validation in ASP.NET -- tips, tricks & pitfalls" (Boris Hemkemeier)<br />
** "Managing of extremely large Web Application Firewall Installations" (Slides: [http://www.owasp.org/images/f/f6/VeryLargeWAFs.pdf PDF]) (Alexander Meisel)<br />
* 8. (14:45 - 15:00) Coffee Break<br />
* 9. (15:00 - 15:45) Fourth technical presentation "Secure Coding and Development Guidelines (part of CLASP)" (Tobias)<br />
* 10. (15:45 - 16:00) Wrap-up and outlook <br />
<br><br />
<br />
=== Chapter Meeting on September 7th 2007 in Frankfurt/Main ===<br />
<br />
After two years of absence the German Chapter has been restarted. The chapter meeting was on September 7th 2007, 15:00 - 18:00.<br />
<br />
This first chapter meeting had as its main goal the re-initiation of the German chapter and to start work on projects. Talks and presentations are secondary and will receive more focus at subsequent meetings.<br />
<br />
''' [https://lists.owasp.org/pipermail/owasp-germany/2007-September/000038.html Read meeting notes/minutes here]'''<br />
<br />
<br />
<br />
====comments====<br />
<br />
If you want to participate in the work of the German OWASP chapter or offer to submit work to it and cannot attend the meeting, please contact [[user:tgondrom| Tobias]] or send an email to our [mailto:owasp-germany@lists.owasp.org chapter mailing list (now working!)].<br />
<br />
<br />
==Press Relations==<br />
<br />
Press Relations of the OWASP German Chapter are currently directed exclusively towards the local press. We therefore do not provide english translations. .<br />
<br />
* [http://www.owasp.org/index.php?title=Germany/press Press relations] <br />
<br />
== Local News ==<br />
* 10 September 2008: [[Best_Practices:_Web_Application_Firewalls | Best Practices: Web Application Firewalls wiki pages]]<br />
* 17 July 2008: OWASP Germany released [https://www.owasp.org/images/a/a6/Best_Practices_Guide_WAF_v104.en.pdf Best Practices: Use of Web Application Firewalls (English)]<br />
<!-- https://www.owasp.org/index.php/Image:Best_Practices_Guide_WAF_v104.en.pdf --><br />
* 18 March 2008: OWASP Germany released [http://www.owasp.org/images/1/1b/Best_Practices_Guide_WAF.pdf Best Practices: Einsatz von Web Application Firewalls (German)]<br />
* 07 September 2007: Chapter meeting in Frankfurt<br />
* 18 July 2007: scheduled chapter meeting on September 7th 2007<br />
* 02 Mar 2007: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.bund.de/fachthem/betriebssysteme/indigo/index.htm#indigoen Indigo Security] (engl: 'Indigo Security').<br />
<br />
* 23 Feb 2007: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.de/literat/studien/tomcat/index.htm Apache Tomcat Sicherheitsuntersuchung] (engl: 'Apache Tomcat Security Assessment').<br />
<br />
* 06 Sept 2006: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.de/literat/studien/websec/WebSec.pdf Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen] (engl: 'Measures and Best Practices for Web Application Security').<br />
<br />
'''OWASP Moves to MediaWiki Portal - 11:05, 20 May 2006 (EDT)'''<br />
<br />
OWASP is pleased to announce the arrival of OWASP 2.0!<br />
<br />
OWASP 2.0 utilizes the MediaWiki portal to manage and provide<br />
the latest OWASP related information. Enjoy!<br />
<br />
[[Category:Germany]]</div>Thshttps://wiki.owasp.org/index.php?title=OWASP_Germany_2009_Conference&diff=64324OWASP Germany 2009 Conference2009-06-17T18:53:17Z<p>Ths: </p>
<hr />
<div>Die [[OWASP Germany 2009 Conference]] wird am 13.10.09 mit einer Vorabendveranstalung am 12.10.09 in Nürnberg stattfinden.<br />
<br />
(The OWASP Germany 2009 conference will be held on October 13, 2009 in Nürnberg)<br />
<br />
Weitere Einzelheiten und die Agenda werden bekannt gegeben, sobald sie abgestimmt sind.</div>Thshttps://wiki.owasp.org/index.php?title=OWASP_Germany_2009_Conference&diff=64323OWASP Germany 2009 Conference2009-06-17T18:52:50Z<p>Ths: New page: Die OWASP Germany 2009 Conference wird am 13.10.09 mit einer Vorabendveranstalung am 12.10.09 in Nürnberg stattfinden. (The OWASP Germany 2009 conference will be held on October 12, ...</p>
<hr />
<div>Die [[OWASP Germany 2009 Conference]] wird am 13.10.09 mit einer Vorabendveranstalung am 12.10.09 in Nürnberg stattfinden.<br />
<br />
(The OWASP Germany 2009 conference will be held on October 12, 2009 in Nürnberg)<br />
<br />
Weitere Einzelheiten und die Agenda werden bekannt gegeben, sobald sie abgestimmt sind.</div>Thshttps://wiki.owasp.org/index.php?title=Germany&diff=64322Germany2009-06-17T18:52:25Z<p>Ths: </p>
<hr />
<div>{{Chapter Template|chaptername=Germany|extra=The chapter leaders are [mailto:ts@securenet.de Thomas Schreiber] and [mailto:Georg.Hess@artofdefence.com Georg Heß]. Chapter Board members are: Holger Heimann and [mailto:boris@owasp.org Boris Hemkemeier]. |mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-germany|emailarchives=http://lists.owasp.org/pipermail/owasp-germany}}<br />
<br />
== Donate ==<br />
<paypal>Germany</paypal><br />
<br />
<br />
== Next OWASP German Chapter Meeting ==<br />
<br />
'''Date:''' Freitag, 10. Juli 2009 - ab 13:00 Uhr<br><br />
'''Location:''' Hochschule MANNHEIM - Details folgen noch rechtzeitig<br><br />
'''Agenda:''' tbc <br />
<br><br />
<br />
<br />
== OWASP Germany 2009 Conference 13.10.09 in Nürnberg ==<br />
Die [[OWASP Germany 2009 Conference]] wird am 13.10.09 mit einer Vorabendveranstalung am 12.10.09 in Nürnberg stattfinden.<br />
<br />
(The OWASP Germany 2009 conference will be held on October 12, 2009 in Nürnberg)<br />
<br />
<br />
== Past Events ==<br />
<br />
=== Wir sind auf der SYSTEMS 08 in München ===<br />
<br />
Besuchen Sie uns vom 21.10. - 24.10.08 in der <br />
<br />
:'''IT-SecurityArea - Halle B3, Stand 228'''<br />
<br />
<br />
=== OWASP Germany 2008 Conference 25.11.08 in Frankfurt ===<br />
Die [[OWASP Germany 2008 Conference]] wird am 25.11.08 mit einer Vorabendveranstalung am 24.11.08 in Frankfurt stattfinden.<br />
<br />
(The OWASP Germany 2008 conference will be held on November 25, 2008 in Frankfurt.)<br />
<br />
=== OWASP German Chapter Meeting - February 20th in Darmstadt ===<br />
'''Date: February 20th, 2007, 11:00-16:15'''<br><br />
'''Location: Darmstadt, CAST (http://www.cast-forum.de)'''<br><br />
Fraunhoferstr. 5 (vormals Rundeturmstr. 6) - EG Room 072 - [http://www.cast-forum.de/workshops/anfahrt.html Anfahrt]<br><br />
<br><br />
<br />
The next chapter meeting will be hosted at CAST in Darmstadt.<br><br />
This time the focus is on technical presentations and discussion. <br><br />
<br><br />
'''Agenda''' <br />
Technical presentation slots will consist of 20-30 minute presentation and 15 minute discussion. <br />
* 1. (11:00 - 11:15) Welcome, Introduction and Administrativia <br />
* 2. (11:15 - 11:30) Vorstellung von CAST (Dr. Heinemann)<br />
* 3. (11:30 - 11:45) Short OWASP organisation introduction and update (Tobias Gondrom)<br />
* 4. (11:45 - 12:30) First technical presentation "Best Practices beim Einsatz einer Web Application Firewall 1.0" (Slides: [http://www.owasp.org/images/1/1b/WAF-Paper.pdf PDF]) (Alexander Meisel) <br />
* 5. (12:30 - 13:15) Break<br />
* 6. (13:15 - 14:00) Second technical presentation "Defending against Web Application DoS Attacks" (Maximilian Dermann)<br />
* 7. (14:00 - 14:45) 20-Minutes Talks (15 Min Presentation + 5-10 Min Discuss) <br />
** "Input validation in ASP.NET -- tips, tricks & pitfalls" (Boris Hemkemeier)<br />
** "Managing of extremely large Web Application Firewall Installations" (Slides: [http://www.owasp.org/images/f/f6/VeryLargeWAFs.pdf PDF]) (Alexander Meisel)<br />
* 8. (14:45 - 15:00) Coffee Break<br />
* 9. (15:00 - 15:45) Fourth technical presentation "Secure Coding and Development Guidelines (part of CLASP)" (Tobias)<br />
* 10. (15:45 - 16:00) Wrap-up and outlook <br />
<br><br />
<br />
=== Chapter Meeting on September 7th 2007 in Frankfurt/Main ===<br />
<br />
After two years of absence the German Chapter has been restarted. The chapter meeting was on September 7th 2007, 15:00 - 18:00.<br />
<br />
This first chapter meeting had as its main goal the re-initiation of the German chapter and to start work on projects. Talks and presentations are secondary and will receive more focus at subsequent meetings.<br />
<br />
''' [https://lists.owasp.org/pipermail/owasp-germany/2007-September/000038.html Read meeting notes/minutes here]'''<br />
<br />
<br />
<br />
====comments====<br />
<br />
If you want to participate in the work of the German OWASP chapter or offer to submit work to it and cannot attend the meeting, please contact [[user:tgondrom| Tobias]] or send an email to our [mailto:owasp-germany@lists.owasp.org chapter mailing list (now working!)].<br />
<br />
<br />
==Press Relations==<br />
<br />
Press Relations of the OWASP German Chapter are currently directed exclusively towards the local press. We therefore do not provide english translations. .<br />
<br />
* [http://www.owasp.org/index.php?title=Germany/press Press relations] <br />
<br />
== Local News ==<br />
* 10 September 2008: [[Best_Practices:_Web_Application_Firewalls | Best Practices: Web Application Firewalls wiki pages]]<br />
* 17 July 2008: OWASP Germany released [https://www.owasp.org/images/a/a6/Best_Practices_Guide_WAF_v104.en.pdf Best Practices: Use of Web Application Firewalls (English)]<br />
<!-- https://www.owasp.org/index.php/Image:Best_Practices_Guide_WAF_v104.en.pdf --><br />
* 18 March 2008: OWASP Germany released [http://www.owasp.org/images/1/1b/Best_Practices_Guide_WAF.pdf Best Practices: Einsatz von Web Application Firewalls (German)]<br />
* 07 September 2007: Chapter meeting in Frankfurt<br />
* 18 July 2007: scheduled chapter meeting on September 7th 2007<br />
* 02 Mar 2007: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.bund.de/fachthem/betriebssysteme/indigo/index.htm#indigoen Indigo Security] (engl: 'Indigo Security').<br />
<br />
* 23 Feb 2007: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.de/literat/studien/tomcat/index.htm Apache Tomcat Sicherheitsuntersuchung] (engl: 'Apache Tomcat Security Assessment').<br />
<br />
* 06 Sept 2006: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.de/literat/studien/websec/WebSec.pdf Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen] (engl: 'Measures and Best Practices for Web Application Security').<br />
<br />
'''OWASP Moves to MediaWiki Portal - 11:05, 20 May 2006 (EDT)'''<br />
<br />
OWASP is pleased to announce the arrival of OWASP 2.0!<br />
<br />
OWASP 2.0 utilizes the MediaWiki portal to manage and provide<br />
the latest OWASP related information. Enjoy!<br />
<br />
[[Category:Germany]]</div>Thshttps://wiki.owasp.org/index.php?title=Germany&diff=64321Germany2009-06-17T18:49:24Z<p>Ths: </p>
<hr />
<div>{{Chapter Template|chaptername=Germany|extra=The chapter leaders are [mailto:ts@securenet.de Thomas Schreiber] and [mailto:Georg.Hess@artofdefence.com Georg Heß]. Chapter Board members are: Holger Heimann and [mailto:boris@owasp.org Boris Hemkemeier]. |mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-germany|emailarchives=http://lists.owasp.org/pipermail/owasp-germany}}<br />
<br />
== Donate ==<br />
<paypal>Germany</paypal><br />
<br />
<br />
== Next OWASP German Chapter Meeting ==<br />
<br />
'''Date:''' Freitag, 10. Juli 2009 - ab 13:00 Uhr<br><br />
'''Location:''' Hochschule MANNHEIM - Details folgen noch rechtzeitig<br><br />
'''Agenda:'' tbc <br />
<br><br />
<br />
<br />
== OWASP Germany 2009 Conference 13.10.09 in Nürnberg ==<br />
Die [[OWASP Germany 2009 Conference]] wird am 13.10.09 mit einer Vorabendveranstalung am 12.10.09 in Nürnberg stattfinden.<br />
<br />
(The OWASP Germany 2009 conference will be held on October 12, 2009 in Nürnberg)<br />
<br />
<br />
== Past Events ==<br />
<br />
=== Wir sind auf der SYSTEMS 08 in München ===<br />
<br />
Besuchen Sie uns vom 21.10. - 24.10.08 in der <br />
<br />
:'''IT-SecurityArea - Halle B3, Stand 228'''<br />
<br />
<br />
=== OWASP Germany 2008 Conference 25.11.08 in Frankfurt ===<br />
Die [[OWASP Germany 2008 Conference]] wird am 25.11.08 mit einer Vorabendveranstalung am 24.11.08 in Frankfurt stattfinden.<br />
<br />
(The OWASP Germany 2008 conference will be held on November 25, 2008 in Frankfurt.)<br />
<br />
=== OWASP German Chapter Meeting - February 20th in Darmstadt ===<br />
'''Date: February 20th, 2007, 11:00-16:15'''<br><br />
'''Location: Darmstadt, CAST (http://www.cast-forum.de)'''<br><br />
Fraunhoferstr. 5 (vormals Rundeturmstr. 6) - EG Room 072 - [http://www.cast-forum.de/workshops/anfahrt.html Anfahrt]<br><br />
<br><br />
<br />
The next chapter meeting will be hosted at CAST in Darmstadt.<br><br />
This time the focus is on technical presentations and discussion. <br><br />
<br><br />
'''Agenda''' <br />
Technical presentation slots will consist of 20-30 minute presentation and 15 minute discussion. <br />
* 1. (11:00 - 11:15) Welcome, Introduction and Administrativia <br />
* 2. (11:15 - 11:30) Vorstellung von CAST (Dr. Heinemann)<br />
* 3. (11:30 - 11:45) Short OWASP organisation introduction and update (Tobias Gondrom)<br />
* 4. (11:45 - 12:30) First technical presentation "Best Practices beim Einsatz einer Web Application Firewall 1.0" (Slides: [http://www.owasp.org/images/1/1b/WAF-Paper.pdf PDF]) (Alexander Meisel) <br />
* 5. (12:30 - 13:15) Break<br />
* 6. (13:15 - 14:00) Second technical presentation "Defending against Web Application DoS Attacks" (Maximilian Dermann)<br />
* 7. (14:00 - 14:45) 20-Minutes Talks (15 Min Presentation + 5-10 Min Discuss) <br />
** "Input validation in ASP.NET -- tips, tricks & pitfalls" (Boris Hemkemeier)<br />
** "Managing of extremely large Web Application Firewall Installations" (Slides: [http://www.owasp.org/images/f/f6/VeryLargeWAFs.pdf PDF]) (Alexander Meisel)<br />
* 8. (14:45 - 15:00) Coffee Break<br />
* 9. (15:00 - 15:45) Fourth technical presentation "Secure Coding and Development Guidelines (part of CLASP)" (Tobias)<br />
* 10. (15:45 - 16:00) Wrap-up and outlook <br />
<br><br />
<br />
=== Chapter Meeting on September 7th 2007 in Frankfurt/Main ===<br />
<br />
After two years of absence the German Chapter has been restarted. The chapter meeting was on September 7th 2007, 15:00 - 18:00.<br />
<br />
This first chapter meeting had as its main goal the re-initiation of the German chapter and to start work on projects. Talks and presentations are secondary and will receive more focus at subsequent meetings.<br />
<br />
''' [https://lists.owasp.org/pipermail/owasp-germany/2007-September/000038.html Read meeting notes/minutes here]'''<br />
<br />
<br />
<br />
====comments====<br />
<br />
If you want to participate in the work of the German OWASP chapter or offer to submit work to it and cannot attend the meeting, please contact [[user:tgondrom| Tobias]] or send an email to our [mailto:owasp-germany@lists.owasp.org chapter mailing list (now working!)].<br />
<br />
<br />
==Press Relations==<br />
<br />
Press Relations of the OWASP German Chapter are currently directed exclusively towards the local press. We therefore do not provide english translations. .<br />
<br />
* [http://www.owasp.org/index.php?title=Germany/press Press relations] <br />
<br />
== Local News ==<br />
* 10 September 2008: [[Best_Practices:_Web_Application_Firewalls | Best Practices: Web Application Firewalls wiki pages]]<br />
* 17 July 2008: OWASP Germany released [https://www.owasp.org/images/a/a6/Best_Practices_Guide_WAF_v104.en.pdf Best Practices: Use of Web Application Firewalls (English)]<br />
<!-- https://www.owasp.org/index.php/Image:Best_Practices_Guide_WAF_v104.en.pdf --><br />
* 18 March 2008: OWASP Germany released [http://www.owasp.org/images/1/1b/Best_Practices_Guide_WAF.pdf Best Practices: Einsatz von Web Application Firewalls (German)]<br />
* 07 September 2007: Chapter meeting in Frankfurt<br />
* 18 July 2007: scheduled chapter meeting on September 7th 2007<br />
* 02 Mar 2007: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.bund.de/fachthem/betriebssysteme/indigo/index.htm#indigoen Indigo Security] (engl: 'Indigo Security').<br />
<br />
* 23 Feb 2007: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.de/literat/studien/tomcat/index.htm Apache Tomcat Sicherheitsuntersuchung] (engl: 'Apache Tomcat Security Assessment').<br />
<br />
* 06 Sept 2006: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.de/literat/studien/websec/WebSec.pdf Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen] (engl: 'Measures and Best Practices for Web Application Security').<br />
<br />
'''OWASP Moves to MediaWiki Portal - 11:05, 20 May 2006 (EDT)'''<br />
<br />
OWASP is pleased to announce the arrival of OWASP 2.0!<br />
<br />
OWASP 2.0 utilizes the MediaWiki portal to manage and provide<br />
the latest OWASP related information. Enjoy!<br />
<br />
[[Category:Germany]]</div>Thshttps://wiki.owasp.org/index.php?title=OWASP_Germany_2008_Conference&diff=47006OWASP Germany 2008 Conference2008-11-28T10:18:32Z<p>Ths: </p>
<hr />
<div><br />
{| cellpadding="20" cellspacing="0" border="1" width="100%" align="center" | <br />
| Die Präsentationen stehen zum Download zur Verfügung - siehe unten.<br />
|}<br />
<br />
<br />
Die deutsche Sektion des Open Web Application Security Projekts (OWASP) hat erstmals einen Branchentreff für '''Entwickler''', '''IT-Security-Verantwortliche''' und '''IT-Manager''' ausgerichtet. Ziel der Veranstaltung war es, eine Plattform zum Erfahrungsaustausch zwischen technischen Entscheidern aufzubauen und herstellerunabhängige Information zum Thema Web-Anwendungssicherheit zur Verfügung zu stellen. <br />
<br />
Die OWASP Germany 2008 Konferenz fand am <br />
<br />
:'''25. November 2008 '''<br />
<br />
mit einer Vorabendveranstaltung im Steigenberger Airport Hotel in '''Frankfurt am Main''' statt. <br />
<br />
(The OWASP Germany 2008 conference has been held on November 25, 2008 in Frankfurt.)<br />
<br />
&nbsp;<br />
&nbsp;<br />
<br />
{{Template:OWASP_Germany_2008_Sponsors}}<br />
<br />
Zurück zur [[Germany|OWASP Germany Homepage]].<br />
<br />
== Agenda ==<br />
{| style="width:80%" border="0" align="center"<br />
! colspan="3" align="center" style="background:#4058A0; color:white" | Montag, 24.11.08 <br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 19:30-open end || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen.<br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen.<br />
<br />
--- Für das leibliche Wohl ist gesorgt. ---<br />
<br />
|-<br />
| style="width:80%" border="0" align="center" ! colspan="3" align="center" style="background:#4058A0; color:#4058A0" | OWASP Germany<br />
|}<br />
<br />
<br />
{| style="width:80%" border="0" align="center"<br />
! colspan="3" align="center" style="background:#4058A0; color:white" | Dienstag, 25.11.08<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 09:00-09:30 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Registrierung und Kaffee<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 09:30-09:45|| colspan="2" style="width:80%; background:#F2F2F2" align="left" | '''Begrüßung'''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 09:45-10:30|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#OWASP Overview (in Englisch) | '''OWASP Overview (in Englisch)''']] [[:Image:Germany 2008 Conference OWASP Introduction v1.pptx|(download)]]<br />
''Sebastien Deleersnyder, OWASP Foundation Board Member''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 10:30-11:15|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen | '''Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen''']] [http://www.owasp.org/images/5/55/OWASP_Germany_2008_Wirtschaftlichkeitsbetrachtungen_von_IT-Sicherheitsmassnahmen.pdf (download)]<br />
''Maximilian Dermann, IT-Security Architect''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 11:15-11:30 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Kaffeepause<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 11:30-12:15|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Kickstart für sichere Webanwendungen |'''Kickstart für sichere Webanwendungen''']] [http://www.owasp.org/images/0/0d/OWASP-Germany_2008_Kickstart_fuer_sichere_Webanwendungen.pdf (download)]<br />
''Thomas Schreiber, SecureNet GmbH''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 12:15-13:00|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#SOA Sicherheitsarchitektur | '''SOA Sicherheitsarchitektur''']] [http://www.owasp.org/images/1/14/OWASP_Germany_2008_SOA_Sicherheitsarchitektur.pdf (download)]<br />
''Dr. Bruce Sams, OPTIMAbit GmbH''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 13:00-14:00 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Mittagspause<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 14:00-14:45|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Vorstellung des OWASP Best Practices Guide zum Einsatz von Web Application Firewalls | '''Vorstellung des OWASP Best Practices Guide zum Einsatz von Web Application Firewalls''']] [http://www.owasp.org/images/7/74/OWASP_Germany_2008_Best_Practices_Guide_zum_Einsatz_von_Web_Application_Firewalls.pdf (download)]<br />
''Alex Meisel, Art of Defence''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | &nbsp; || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Tracks: 30 Min Präsentation , 10 Min Diskussion + Raumsuche<br />
|-<br />
| style="width:10%; background:#7B8ABD" | &nbsp; || style="width:40%; background:#FFDF80" align="left" | '''Track 1''' <br />
| style="width:40%; background:#A0C0E0" align="left" | '''Track 2''' <br />
|-<br />
| style="width:10%; background:#7B8ABD" | 14:50-15:30 || style="width:40%; background:#FFDF80" align=left" | [[#Measuring the Security of Web Applications | '''Measuring the Security of Web Applications''']] [http://www.owasp.org/images/b/bc/OWASP_Germany_2008_Measuring_the_Security_of_Web_Applications.pdf (download)]<br />
''Sebastian Schinzel, Virtual Forge''<br />
| style="width:40%; background:#a0c0e0 " align=left" | [[#Server- und Browser-basierte XSS Erkennung | '''Server- und Browser-basierte XSS Erkennung''']] [http://www.owasp.org/images/9/9f/OWASP_Germany_2008_Server_und_Browser_basierte_XSS_Erkennung.pdf (download)]<br />
''Martin Johns, Uni Passau, und Jeremias Reith, Uni Hamburg''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 15:30-16:10 || style="width:40%; background:#FFDF80" align=left" | [[#Security-by-Design durch Einsatz von MVC | '''Security-by-Design durch Einsatz von MVC''']] [http://www.owasp.org/images/d/d7/OWASP_Germany_2008_Security_by_Design_durch_Einsatz_von_MVC.pdf (download)]<br />
''Mirko Richter u. Matthias Rohr, SecureNet GmbH''<br />
| style="width:40%; background:#a0c0e0 " align=left" | [[#Cross-Site Scripting Filter Evasion | '''Cross-Site Scripting Filter Evasion''']] [http://www.owasp.org/images/0/0f/OWASP_Germany_2008_Cross_Site_Scripting_Filter_Evasion.pdf (download)]<br />
''Alexios Fakos, n.runs AG''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 16:10-16:30 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Kaffeepause<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 16:30-17:10 || style="width:40%; background:#FFDF80" align=left" | [[#Learning of Positive Security Models for Web-Applications | '''Learning of Positive Security Models for Web-Applications''']] [http://www.owasp.org/images/c/c1/OWASP_Germany_2008_Learning_Positive_Models.pdf (download)]<br />
''Christian Bockermann''<br />
| style="width:40%; background:#a0c0e0 " align=left" | [[#WMAP - Metasploit 3.2 Module für Pentester von Webapplikationen | '''WMAP - Metasploit 3.2 Module für Pentester von Webapplikationen''']] [http://www.owasp.org/images/b/b7/OWASP_Germany_2008_WMAP_Metasploit_Module_fuer_Pentester_von_Webapplikationen.pdf (download)]<br />
''Hans-Martin Münch, it.sec GmbH & Co. KG''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 17:10-17:50|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software | '''Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software''']] [http://www.owasp.org/images/e/e2/OWASP_Germany_2008_Goldene_Regeln_zur_Entwicklung_sicherer_Software.pdf (download)]<br />
''Tom Schröer und Patrick Hildenbrand, SAP; Dr. Boris Hemkemeier, Commerzbank''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 17:50-18:00|| colspan="2" style="width:80%; background:#F2F2F2" align="left" | '''Schlusswort'''<br />
|-<br />
| style="width:80%" border="0" align="center" ! colspan="3" align="center" style="background:#4058A0; color:#4058A0" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''Der Vortrag "Sicherheit von Rich Internet Applications" entfällt leider.''</div><br />
<br />
== Anmeldung und Preise ==<br />
<br />
Bitte melden Sie sich über '''[https://www.infodirekt.de/index.php?id=owasp2008_anmeldung dieses Formular]''' an.<br />
<br />
(Leider steht uns für dieses Mal das Anmeldeportal der OWASP noch nicht zur Verfügung. Wir mussten daher auf einen selbstsignierten https-Server ausweichen, was aber zu einem unschönen Zertifikatsfehler führt. Lassen Sie sich (ausnahmsweise!) davon nicht irritieren und klicken Sie, falls Sie eine Fehlerseite erhalten, auf ''Laden dieser Website fortsetzen (nicht empfohlen)''.)<br />
<br />
'''Preise:'''<br />
{| class="wikitable" <br />
|- valign="bottom"<br />
|style="background-color:#99CCFF" width="112" height="13" | „normaler“ Teilnehmer<br />
| width="60" | 149 EUR<br />
<br />
|- valign="bottom"<br />
|style="background-color:#99CCFF" height="13" | OWASP-Mitglied<br />
| 99 EUR<br />
<br />
|- valign="bottom"<br />
|style="background-color:#99CCFF" height="13" | Studenten<br />
| kostenlos<br />
<br />
|}<br />
<br />
Preise zzgl. MwSt.<br />
<br />
[[#Zimmerkontingente|Zimmerkontingente hier]].<br />
<br />
== Veranstaltungsort ==<br />
<br />
'''[http://www.steigenberger.com/aw/Steigenberger_Airport_Hotel/Hotelinformationen/~zlk/Lage_Anreise/ Steigenberger Airport Hotel]''' (per Bahn und Flieger gleichermaßen gut zu erreichen). [[#Zimmerkontingente|Zimmerkontingente hier]].<br />
<br />
<br />
== Sponsoring ==<br />
<br />
Es besteht die Möglichkeit zum Ausstellen und zum Logo-Sponsoring. [http://www.owasp.org/images/9/98/OWASP_D_2008_Sponsoren_Info.pdf Infos für Sponsoren hier.]<br />
<br />
<br />
== Pressemitteilung ==<br />
<br />
Die Pressemitteilung zur Konferenz finden Sie [https://www.owasp.org/images/b/b3/Owasp-pr-oct08-conf.de.pdf hier].<br />
<br />
== Die Vortr&auml;ge im Einzelnen ==<br />
<br />
=== OWASP Overview (in Englisch) ===<br />
:An introduction to Open Web Application Security Project (OWASP), a worldwide free and open community focused on improving the security of application software. Our mission is to make application security "visible," so that people and organizations can make informed decisions about application security risks.<br />
:[[:Image:Germany 2008 Conference OWASP Introduction v1.pptx|Download Präsentation]]<br />
:''Über Sebastien Deleersnyder''<br />
<br />
:Sebastien started the successful Belgian OWASP Chapter and performed several public presentations on web application and web services security. Sebastien specialises in (web) applicatoin security, combining his software development and information security experience. He is currently OWASP Foundation board member and responsible for the Telindus application security offering in Belgium.<br />
<br />
=== Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen ===<br />
<br />
:Das Problem ist bekannt: alle sind sich einig, dass Webanwendungen sicher sein sollten, aber niemand kann sagen, wie viel Aufwand zu deren Absicherung noch wirtschaftlich ist. Dieser Vortrag zeigt pragmatische, praxiserprobte Ansätze auf, sich einer Wirtschaftlichkeitsbetrachtung zu nähern.<br />
:[http://www.owasp.org/images/5/55/OWASP_Germany_2008_Wirtschaftlichkeitsbetrachtungen_von_IT-Sicherheitsmassnahmen.pdf Download Präsentation]<br />
:''Über Maximilian Dermann''<br />
<br />
:Maximilian Dermann ist selbstständiger IT-Security Architect. Er war bei Lufthansa Technik für mehr als fünf Jahre für die Sicherheit und den Betrieb der zuletzt über 60 eBusiness Applikationen zuständig. Seine Aufgaben beinhalteten u.a. die Erstellung von Detailrichtlinien für sichere Softwareentwicklung und den sicheren Betrieb der Applikationen, die Koordination von Sicherheitsaudits, das Design und die Koordination des Betriebs der Sicherheitsinfrastruktur sowie die Verantwortung für das Betriebsbudget. Als Projektleiter und Architekt hat er mehrere Projekte im Bereich IT-Sicherheit und IT-Infrastruktur durchgeführt. Maximilian Dermann war als Berater und Softwareentwickler im Bereich Webapplikationssicherheit an insgesamt vier Online-Banking und -Brokerage Projekten beteiligt. Er ist aktives Mitglied des OWASP German Chapters und einer der Co-Autoren des Best Practices Guide für Web Application Firewalls.<br />
<br />
=== Kickstart für sichere Webanwendungen ===<br />
:Der Ansatzpunkte und Maßnahmen zur Absicherung von Webanwendungen gibt es viele - doch wo fange ich an und was ist der für meinen ganz speziellen Fall beste Weg? <br />
<br />
:Der Vortrag gibt einen kompakten Überblick über die verschiedenen Ansatzpunkte zur Absicherung von Webanwendungen, diskutiert Vor- und Nachteile und stellt Erfahrungen aus der Praxis dar.<br />
:[http://www.owasp.org/images/0/0d/OWASP-Germany_2008_Kickstart_fuer_sichere_Webanwendungen.pdf Download Präsentation]<br />
:''Über Thomas Schreiber''<br />
<br />
:Thomas Schreiber ist Geschäftsführer der [http://www.securenet.de/ SecureNet GmbH] und Berater für die Sicherheit von Webanwendungen. Seit vielen Jahren beschäftigt er sich mit Sicherheitsaspekten von Webanwendungen und hat mittlerweile Hunderte von Webanwendungen auf ihre Sicherheit hin untersucht. Er ist Coautor des vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen [http://www.bsi.de/literat/studien/websec/WebSec.pdf Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen].<br />
<br />
=== SOA Sicherheitsarchitektur ===<br />
:Der Einsatz von SOA erfordert ein neues Sicherheitsmodell, da viele altbewährte Lösungen für Benutzermanagement, Authentifizierung, Autorisierung usw. nicht mehr funktionieren. Auch kommen neue Anforderungen hinzu, wie z.B. die Föderation und die Integration mit PKI-Systemen. Dieser Vortrag zeigt die spezifischen Sicherheitsprobleme von SOA von einer Architekturperspektive. Wichtige Standards für SOA, wie Policy Enforcement Point (PEP), Policy Decision Point (PDP), SAML, XACML, und deren konkrete Benutzung werden besprochen. Die Bedeutung von Rollenmodelle und die flexible Einbindung von solchen in SOAs wird auch behandelt.<br />
:[http://www.owasp.org/images/1/14/OWASP_Germany_2008_SOA_Sicherheitsarchitektur.pdf Download Präsentation]<br />
:''Über Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel.<br />
<br />
=== OWASP Best Practices zum Einsatz von Web Application Firewalls ===<br />
:Der Vortrag stellt den vom OWASP Germany Chapter erstellten ''OWASP Best Practices zum Einsatz von Web Application Firewalls'' vor.<br />
<br />
:Das Dokument wendet sich vornehmlich an technische Entscheider - speziell Betriebsverantwortliche, Sicherheitsverantwortliche, Applikationseigner (Fachabteilung, technisch Anwendungsverantwortlicher), die den Einsatz einer WAF im Unternehmen evaluieren. Spezielles Augenmerk wurde – wo immer möglich – auf die Darstellung von Aufwandsabschätzungen gelegt – auch im Vergleich zu möglichen Alternativen wie z. B. Änderungen im Sourcecode.<br />
:[http://www.owasp.org/images/7/74/OWASP_Germany_2008_Best_Practices_Guide_zum_Einsatz_von_Web_Application_Firewalls.pdf Download Präsentation]<br />
:''Über Alex Meisel''<br />
<br />
:Bereits in seiner Informatik-Diplomarbeit beschäftigte Alex Meisel sich mit der Abwehr und der Rückverfolgung von sog. Denial-of-Service- Attacken. Bei einem Schweizer IT-Dienstleister war er als Experte für Web-Sicherheit tätig; anschließend betreute er beim größten europäischen Internet-Knotenpunkt LINX (London Internet Exchange) Mitglieder in Fragen der Netzwerk-Sicherheit. Nach seiner dreijährigen Tätigkeit als Senior Consultant für Design und Implementierung von großen Web-Farmen inkl. Security-Audits bei einem führenden Hersteller von Web-Servern wechselte er als Leiter Projektmanagement zur Realisierung von Web-Applikations-Lösungen im SAP-Umfeld zum gleichen Fortune-500-Unternehmen.<br />
<br />
=== Measuring the Security of Web Applications ===<br />
:Software ist unsicher! "Security Researcher" publizieren nahezu täglich Sicherheitsmängel in Softwareapplikationen in einschlägigen Mailinglisten und Internetforen. Und das bereits seit Jahrzehnten. Softwaresicherheit wird immer wichtiger mit der zunehmenden Vernetzung und Kritikalität der Daten. Daher reservieren Softwarehersteller oft signifikante (aber trotzdem begrenzte) Budgets zur sicheren Softwareentwicklung. Um diese Budgets werben Dienstleister und Hersteller von verschiedensten Sicherheitsprodukten. Oft halten diese Dienste und Produkte nicht das, was das Marketing verspricht. Für Softwarehersteller stellt sich die Frage in welche Prozesse und Technologien in welchem Umfang investiert werden sollte: "Wieviel Sicherheitszuwachs bekommt man für wieviel Aufwand"? In diesem Vortrag beleuchte ich Wege und Irrwege, um dieses Kosten-Nutzen-Verhältnis abzuschätzen und zu optimieren. <br />
:[http://www.owasp.org/images/b/bc/OWASP_Germany_2008_Measuring_the_Security_of_Web_Applications.pdf Download Präsentation]<br />
:''Über Sebastian Schinzel''<br />
<br />
:Sebastian Schinzel ist seit mehr als fünf Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsapplikationen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsapplikationen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. <br />
<br />
=== Security-by-Design durch Einsatz von MVC ===<br />
:Das Frontend von Anwendungen in Model, View und Controller (MVC) zu unterteilen ist sicher eines der wichtigsten Architekturpatterns bei der Entwicklung von Webanwendungen. Für alle relevanten Programmiersprachen existieren hierfür mittlerweile zahlreiche mächtige Frameworks, wie z.B. Struts und Spring MVC für Java oder Symfony für PHP.<br />
<br />
:Neben dem naheliegenden Nutzen für die Strukturierung der Anwendung besitzen MVC-Frameworks aber auch zahlreiche, oft wenig bekannte Möglichkeiten, die es selbst unerfahrenen Entwicklern ermöglichen, nachhaltig sichere Webanwendungen zu erstellen. Weitergehende Sicherheit wie CSRF-Schutz lässt sich mit speziellen MVC-Plugins, wie HDIV, auch nachträglich, in die Anwendung integrieren. <br />
<br />
:Neben diesen Möglichkeiten werden in diesem Vortrag aber auch grundlegende Sicherheitsprobleme betrachtet, die sich mit dem Einsatz von MVC-Frameworks ergeben.<br />
:[http://www.owasp.org/images/d/d7/OWASP_Germany_2008_Security_by_Design_durch_Einsatz_von_MVC.pdf Download Präsentation]<br />
:''Über Mirko Richter und Matthias Rohr''<br />
<br />
:Mirko Richter ist Entwickler sowie Berater für Softwarearchitektur und –sicherheit bei der [http://www.securenet.de/ SecureNet GmbH] in München. Matthias Rohr ist Berater für Webapplikationssicherheit bei der SecureNet GmbH in München.<br />
<br />
=== Server- und Browser-basierte XSS Erkennung ===<br />
:Wenn man sich HTTP Verkehr von Web Applikationen unter dem Gesichtspunkt des Erkennens von eingeschleustem JaveScript-codes betrachtet, fallen zwei einfache Zusammenhänge ins Auge:<br />
<br />
:* Die Menge aller von einer Web Applikation legitim verwendeten JavaScripte ist stark eingeschränkt, was sowohl in Anzahl wie auch in Varianten betrifft, und ist somit maschinell erfassbar. <br />
:* Es gibt einen klaren Zusammenhang zwischen den Parametern eines eingehenden HTTP Requests und den (eventuellen) reflected XSS Scripten, die in der resultierenden Web Seite enthalten sind.<br />
<br />
:Basierend auf diesen beiden Beobachtungen wurden an den Universitäten Hamburg und Passau zwei Detektoren entwickelt, die in der Lage sind XSS Angriffe zu erkennen. Der Vortrag wird beide Erkennungsmethoden vorstellen und aufzeigen wie wir diese auf der Server-seite [1] sowie im Browser [2] umgesetzt haben.<br />
<br />
:Links:<br />
<br />
:[1] Martin Johns, Bjoern Engelmann, Joachim Posegga: XSSDS:<br />
:Server-side detection of cross-site scripting attacks, in Annual Computer Security Applications Conference (ACSAC '08), December 2008, http://databasement.net/docs/2008_ACSAC_johns_Engelmann_Posegga_XSSDS.pdf<br />
<br />
:[2] Jeremias Reith, noXSS, Firefox extension, http://www.noxss.org/<br />
<br />
:[http://www.owasp.org/images/9/9f/OWASP_Germany_2008_Server_und_Browser_basierte_XSS_Erkennung.pdf Download Präsentation]<br />
:''Über Martin Johns und Jeremias Reith''<br />
<br />
:Martin Johns ist wissenschaftlicher Mitarbeiter an der Universität Passau, wo er im Bereich Web- und Software-Sicherheit forscht und gerade den finalen Schliff an seine Doktorarbeit bringt. Vor seinem Eintritt in die akademische Welt, wirkte er als Software Entwickler in verschiedenen Firmen, wie z.B. Infoseek Deutschland, TC Trustcenter und der SAP AG.<br />
<br />
:Jeremias Reith studiert seit 2002 Informatik mit dem Schwerpunkt IT Sicherheit an der Universität Hamburg und arbeitet ausserdem als System-Engineer für ein international agierendes Medienhaus. Momentan schreibt er seine Diplomarbeit mit dem Thema "Reliable reflective XSS detection on the client side" und widmet sich in seiner Freizeit der Firefox-Erweiterung noXSS welche vor XSS-Angriffen schützen soll.<br />
<br />
=== Cross-Site Scripting Filter Evasion ===<br />
:Die Darstellung seiner Individualität ist einer der Schlüsselfaktoren, um im Web 2.0 Business erfolgreich tätig zu sein. Aus diesem Grund erlauben viele Web 2.0 Anwendungen Ihren Benutzern sich freizügig zu präsentieren. Aber diese Praxis erhöht die Risikoanfälligkeit von Cross-Site Scripting Schwachstellen. Der Vortrag untersucht diverse Blacklist- und Whitelist-Ansätze und wie solche Filterregeln umgangen werden können.<br />
:[http://www.owasp.org/images/0/0f/OWASP_Germany_2008_Cross_Site_Scripting_Filter_Evasion.pdf Download Präsentation]<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum deutschen IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
=== Learning of Positive Security Models for Web-Applications ===<br />
<br />
:In vielen Bereichen haben maschinelle Lernverfahren bereits einen großen Einfluß genommen. SPAM-Bekämpfung und Anomalie-basierte Intrusion-Detection wären ohne KI-Ansätze wie Text-Klassifizierung, Clustering oder Outlier-Detection nicht möglich. Im Bereich der Web-Sicherheit gibt es dagegen bisher nur sehr wenige wissenschaftliche Arbeiten, maschinelles Lernen zu verwenden. Auf der anderen Seite werben immer mehr Hersteller von Web Application Firewalls mit selbst-lernenden Systemen ohne Details preiszugeben.<br />
<br />
:Der Vortrag gibt einen Überblick über die (wenigen) wissenschaftlichen Arbeiten zum Thema Web-Sicherheit aus dem Blickwinkel des maschinellen Lernens und stellt ein Projekt vor, das versucht, positive Sicherheitsmodelle für WAF-Systeme aus HTTP-Traffic automatisiert zu erstellen.<br />
:[http://www.owasp.org/images/c/c1/OWASP_Germany_2008_Learning_Positive_Models.pdf Download Präsentation]<br />
:''Über Christian Bockermann''<br />
<br />
:Christian Bockermann ist derzeit wissenschaftlicher Mitarbeiter an der Technischen Universität Dortmund. Nach seiner Diplomarbeit zum Thema "Anomalie-Erkennung in Web-Anwendungen" promoviert er zur Zeit am Lehrstuhl für künstliche Intelligenz im Bereich Web-Sicherheit. Neben einigen Projekten zur Web-Sicherheit betreibt er die Seite jwall.org [http://jwall.org], die einen Teil der Tools bereitstellt, die im Rahmen der Forschungsarbeiten bisher entwickelt wurden.<br />
<br />
=== WMAP - Metasploit 3.2 Module für Pentester von Webapplikationen ===<br />
:War das Metasploit Framework bisher vor allem für Penetrationstest auf Infrastrukturebene interessant, so wurden mit der Einbindung des WMAP Projekts von Efrain Torres eine Reihe von Modulen vorgestellt welche auch bei der Untersuchung einer Webapplikation nützlich sind. Dieser Vortrag zeigt die grundlegende Arbeitsweise mit diesen Modulen.<br />
:[http://www.owasp.org/images/b/b7/OWASP_Germany_2008_WMAP_Metasploit_Module_fuer_Pentester_von_Webapplikationen.pdf Download Präsentation]<br />
:''Über Hans-Martin Münch''<br />
:Hans-Martin Münch arbeitet als Security Consultant bei der Firma it.sec, wo er sich hauptsächlich mit der Durchführung von Penetrationstests befasst. <br />
<br />
=== Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software ===<br />
:Im Rahmen Forschungsprojektes [http://www.secologic.de Secologic] wurden von SAP und Commerzbank u.a. "Goldene Regeln" jeweils für Entwickler, Auftraggeber, Architekten, Tester und IT- Projektleiter entwickelt, die dazu beitragen sollen, die Zahl sicherheitsrelevanter Fehler in Software systematisch zu reduzieren. Das Projekt richtete sich insbesondere an den Mittelstand, wo spezialisiertes Wissen zur Sicherheit von IT-Anwendungen nicht vorausgesetzt werden kann. Die Besonderheit: Nicht nur die Entwickler, sondern auch die (internen oder externen) Auftraggeber werden in die Pflicht genommen. Denn hier sitzt der erste wichtige "Hebel" für die Verbesserung der Softwarequalität.<br />
:[http://www.owasp.org/images/e/e2/OWASP_Germany_2008_Goldene_Regeln_zur_Entwicklung_sicherer_Software.pdf Download Präsentation]<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier arbeitet als Senior Security Consultant bei der [http://www.commerzbank.de Commerzbank AG] und ist Board Member des German OWASP Chapters.<br />
<br />
:''Über Patrick Hildenbrand''<br />
<br />
:Patrick Hildenbrand ist Solution Manager SAP Business ByDesign mit den Schwerpunkten Security, Identity und Access Management und B2B Kommunikation.<br />
<br />
:''Über Tom Schröer''<br />
<br />
:Tom Schröer koordiniert bei der [http://www.sap.com SAP AG] die internen Richtlinien für das sichere Programmieren.<br />
<br />
== Zimmerkontingente ==<br />
<br />
Veranstaltungshotel:<br />
<br />
'''Steigenberger Airport Hotel Frankfurt'''<br />
<br />
Unterschweinstiege 16<br />
<br />
D-60549 Frankfurt am Main<br />
<br />
Internet: www.airporthotel.seigenberger.de<br />
<br />
Zimmerreservierung unter folgendem Abrufkontingent reservierbar<br />
<br />
Telefon: 0049-69-6975 24 26 oder 0049-69-6975 24 27<br />
<br />
Stichwort: OWASP<br />
<br />
Kosten pro Teilnehmer und Übernachtung: 165 Euro ohne Frühstück auf Selbstzahlerbasis<br />
<br />
<br />
<br />
<br />
<br />
Alternative Hotels stehen wir folgt zur Auswahl:<br />
<br />
'''NH Frankfurt Rhein Main'''<br />
<br />
Kelsterbacher Strasse 19-21<br />
<br />
65479 Raunheim<br />
<br />
Internet: www.nh-hotels.com<br />
<br />
Zimmerreservierung unter folgendem Abrufkontingent reservierbar<br />
<br />
Telefon: 0049-6142-99 07 89 <br />
<br />
Stichwort: OWASP<br />
<br />
Kosten pro Teilnehmer und Übernachtung: 128 Euro ohne Frühstück auf Selbstzahlerbasis<br />
<br />
Direkter Hotel Shuttle zum Airport und von dort mit Shuttle zum Steigenberger Airport Hotel Frankfurt<br />
<br />
<br />
<br />
HRS Buchungssysteme:<br />
<br />
Tel 0049-221-2077 600<br />
<br />
Internet: www.hrs.de<br />
<br />
Hier können Sie aus einer großen Auswahl direkt Ihr Hotel aussuchen und gemäß Ihren Ansprüchen gezielt wählen.<br />
<br />
<br />
<br />
<br />
Zurück zur [[Germany|OWASP Germany Homepage]].<br />
<br />
[[Category:Germany]]</div>Thshttps://wiki.owasp.org/index.php?title=OWASP_Germany_2008_Conference&diff=47005OWASP Germany 2008 Conference2008-11-28T07:48:17Z<p>Ths: </p>
<hr />
<div>Die deutsche Sektion des Open Web Application Security Projekts (OWASP) richtet erstmals einen Branchentreff für '''Entwickler''', '''IT-Security-Verantwortliche''' und '''IT-Manager''' aus. Ziel der Veranstaltung ist es, eine Plattform zum Erfahrungsaustausch zwischen technischen Entscheidern aufzubauen und herstellerunabhängige Information zum Thema Web-Anwendungssicherheit zur Verfügung zu stellen. <br />
<br />
Die OWASP Germany 2008 Konferenz findet am <br />
<br />
:'''25. November 2008 '''<br />
<br />
mit einer Vorabendveranstaltung im Steigenberger Airport Hotel in '''Frankfurt am Main''' statt. <br />
<br />
(The OWASP Germany 2008 conference will be held on November 25, 2008 in Frankfurt.)<br />
<br />
&nbsp;<br />
&nbsp;<br />
<br />
{{Template:OWASP_Germany_2008_Sponsors}}<br />
<br />
Zurück zur [[Germany|OWASP Germany Homepage]].<br />
<br />
== Agenda ==<br />
{| style="width:80%" border="0" align="center"<br />
! colspan="3" align="center" style="background:#4058A0; color:white" | Montag, 24.11.08 <br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 19:30-open end || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen.<br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen.<br />
<br />
--- Für das leibliche Wohl ist gesorgt. ---<br />
<br />
|-<br />
| style="width:80%" border="0" align="center" ! colspan="3" align="center" style="background:#4058A0; color:#4058A0" | OWASP Germany<br />
|}<br />
<br />
<br />
{| style="width:80%" border="0" align="center"<br />
! colspan="3" align="center" style="background:#4058A0; color:white" | Dienstag, 25.11.08<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 09:00-09:30 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Registrierung und Kaffee<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 09:30-09:45|| colspan="2" style="width:80%; background:#F2F2F2" align="left" | '''Begrüßung'''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 09:45-10:30|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#OWASP Overview (in Englisch) | '''OWASP Overview (in Englisch)''']] [[:Image:Germany 2008 Conference OWASP Introduction v1.pptx|(download)]]<br />
''Sebastien Deleersnyder, OWASP Foundation Board Member''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 10:30-11:15|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen | '''Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen''']] [http://www.owasp.org/images/5/55/OWASP_Germany_2008_Wirtschaftlichkeitsbetrachtungen_von_IT-Sicherheitsmassnahmen.pdf (download)]<br />
''Maximilian Dermann, IT-Security Architect''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 11:15-11:30 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Kaffeepause<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 11:30-12:15|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Kickstart für sichere Webanwendungen |'''Kickstart für sichere Webanwendungen''']] [http://www.owasp.org/images/0/0d/OWASP-Germany_2008_Kickstart_fuer_sichere_Webanwendungen.pdf (download)]<br />
''Thomas Schreiber, SecureNet GmbH''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 12:15-13:00|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#SOA Sicherheitsarchitektur | '''SOA Sicherheitsarchitektur''']] [http://www.owasp.org/images/1/14/OWASP_Germany_2008_SOA_Sicherheitsarchitektur.pdf (download)]<br />
''Dr. Bruce Sams, OPTIMAbit GmbH''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 13:00-14:00 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Mittagspause<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 14:00-14:45|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Vorstellung des OWASP Best Practices Guide zum Einsatz von Web Application Firewalls | '''Vorstellung des OWASP Best Practices Guide zum Einsatz von Web Application Firewalls''']] [http://www.owasp.org/images/7/74/OWASP_Germany_2008_Best_Practices_Guide_zum_Einsatz_von_Web_Application_Firewalls.pdf (download)]<br />
''Alex Meisel, Art of Defence''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | &nbsp; || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Tracks: 30 Min Präsentation , 10 Min Diskussion + Raumsuche<br />
|-<br />
| style="width:10%; background:#7B8ABD" | &nbsp; || style="width:40%; background:#FFDF80" align="left" | '''Track 1''' <br />
| style="width:40%; background:#A0C0E0" align="left" | '''Track 2''' <br />
|-<br />
| style="width:10%; background:#7B8ABD" | 14:50-15:30 || style="width:40%; background:#FFDF80" align=left" | [[#Measuring the Security of Web Applications | '''Measuring the Security of Web Applications''']] [http://www.owasp.org/images/b/bc/OWASP_Germany_2008_Measuring_the_Security_of_Web_Applications.pdf (download)]<br />
''Sebastian Schinzel, Virtual Forge''<br />
| style="width:40%; background:#a0c0e0 " align=left" | [[#Server- und Browser-basierte XSS Erkennung | '''Server- und Browser-basierte XSS Erkennung''']] [http://www.owasp.org/images/9/9f/OWASP_Germany_2008_Server_und_Browser_basierte_XSS_Erkennung.pdf (download)]<br />
''Martin Johns, Uni Passau, und Jeremias Reith, Uni Hamburg''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 15:30-16:10 || style="width:40%; background:#FFDF80" align=left" | [[#Security-by-Design durch Einsatz von MVC | '''Security-by-Design durch Einsatz von MVC''']] [http://www.owasp.org/images/d/d7/OWASP_Germany_2008_Security_by_Design_durch_Einsatz_von_MVC.pdf (download)]<br />
''Mirko Richter u. Matthias Rohr, SecureNet GmbH''<br />
| style="width:40%; background:#a0c0e0 " align=left" | [[#Cross-Site Scripting Filter Evasion | '''Cross-Site Scripting Filter Evasion''']] [http://www.owasp.org/images/0/0f/OWASP_Germany_2008_Cross_Site_Scripting_Filter_Evasion.pdf (download)]<br />
''Alexios Fakos, n.runs AG''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 16:10-16:30 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Kaffeepause<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 16:30-17:10 || style="width:40%; background:#FFDF80" align=left" | [[#Learning of Positive Security Models for Web-Applications | '''Learning of Positive Security Models for Web-Applications''']] [http://www.owasp.org/images/c/c1/OWASP_Germany_2008_Learning_Positive_Models.pdf (download)]<br />
''Christian Bockermann''<br />
| style="width:40%; background:#a0c0e0 " align=left" | [[#WMAP - Metasploit 3.2 Module für Pentester von Webapplikationen | '''WMAP - Metasploit 3.2 Module für Pentester von Webapplikationen''']] [http://www.owasp.org/images/b/b7/OWASP_Germany_2008_WMAP_Metasploit_Module_fuer_Pentester_von_Webapplikationen.pdf (download)]<br />
''Hans-Martin Münch, it.sec GmbH & Co. KG''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 17:10-17:50|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software | '''Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software''']] [http://www.owasp.org/images/e/e2/OWASP_Germany_2008_Goldene_Regeln_zur_Entwicklung_sicherer_Software.pdf (download)]<br />
''Tom Schröer und Patrick Hildenbrand, SAP; Dr. Boris Hemkemeier, Commerzbank''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 17:50-18:00|| colspan="2" style="width:80%; background:#F2F2F2" align="left" | '''Schlusswort'''<br />
|-<br />
| style="width:80%" border="0" align="center" ! colspan="3" align="center" style="background:#4058A0; color:#4058A0" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''Der Vortrag "Sicherheit von Rich Internet Applications" entfällt leider.''</div><br />
<br />
== Anmeldung und Preise ==<br />
<br />
Bitte melden Sie sich über '''[https://www.infodirekt.de/index.php?id=owasp2008_anmeldung dieses Formular]''' an.<br />
<br />
(Leider steht uns für dieses Mal das Anmeldeportal der OWASP noch nicht zur Verfügung. Wir mussten daher auf einen selbstsignierten https-Server ausweichen, was aber zu einem unschönen Zertifikatsfehler führt. Lassen Sie sich (ausnahmsweise!) davon nicht irritieren und klicken Sie, falls Sie eine Fehlerseite erhalten, auf ''Laden dieser Website fortsetzen (nicht empfohlen)''.)<br />
<br />
'''Preise:'''<br />
{| class="wikitable" <br />
|- valign="bottom"<br />
|style="background-color:#99CCFF" width="112" height="13" | „normaler“ Teilnehmer<br />
| width="60" | 149 EUR<br />
<br />
|- valign="bottom"<br />
|style="background-color:#99CCFF" height="13" | OWASP-Mitglied<br />
| 99 EUR<br />
<br />
|- valign="bottom"<br />
|style="background-color:#99CCFF" height="13" | Studenten<br />
| kostenlos<br />
<br />
|}<br />
<br />
Preise zzgl. MwSt.<br />
<br />
[[#Zimmerkontingente|Zimmerkontingente hier]].<br />
<br />
== Veranstaltungsort ==<br />
<br />
'''[http://www.steigenberger.com/aw/Steigenberger_Airport_Hotel/Hotelinformationen/~zlk/Lage_Anreise/ Steigenberger Airport Hotel]''' (per Bahn und Flieger gleichermaßen gut zu erreichen). [[#Zimmerkontingente|Zimmerkontingente hier]].<br />
<br />
<br />
== Sponsoring ==<br />
<br />
Es besteht die Möglichkeit zum Ausstellen und zum Logo-Sponsoring. [http://www.owasp.org/images/9/98/OWASP_D_2008_Sponsoren_Info.pdf Infos für Sponsoren hier.]<br />
<br />
<br />
== Pressemitteilung ==<br />
<br />
Die Pressemitteilung zur Konferenz finden Sie [https://www.owasp.org/images/b/b3/Owasp-pr-oct08-conf.de.pdf hier].<br />
<br />
== Die Vortr&auml;ge im Einzelnen ==<br />
<br />
=== OWASP Overview (in Englisch) ===<br />
:An introduction to Open Web Application Security Project (OWASP), a worldwide free and open community focused on improving the security of application software. Our mission is to make application security "visible," so that people and organizations can make informed decisions about application security risks.<br />
:[[:Image:Germany 2008 Conference OWASP Introduction v1.pptx|Download Präsentation]]<br />
:''Über Sebastien Deleersnyder''<br />
<br />
:Sebastien started the successful Belgian OWASP Chapter and performed several public presentations on web application and web services security. Sebastien specialises in (web) applicatoin security, combining his software development and information security experience. He is currently OWASP Foundation board member and responsible for the Telindus application security offering in Belgium.<br />
<br />
=== Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen ===<br />
<br />
:Das Problem ist bekannt: alle sind sich einig, dass Webanwendungen sicher sein sollten, aber niemand kann sagen, wie viel Aufwand zu deren Absicherung noch wirtschaftlich ist. Dieser Vortrag zeigt pragmatische, praxiserprobte Ansätze auf, sich einer Wirtschaftlichkeitsbetrachtung zu nähern.<br />
:[http://www.owasp.org/images/5/55/OWASP_Germany_2008_Wirtschaftlichkeitsbetrachtungen_von_IT-Sicherheitsmassnahmen.pdf Download Präsentation]<br />
:''Über Maximilian Dermann''<br />
<br />
:Maximilian Dermann ist selbstständiger IT-Security Architect. Er war bei Lufthansa Technik für mehr als fünf Jahre für die Sicherheit und den Betrieb der zuletzt über 60 eBusiness Applikationen zuständig. Seine Aufgaben beinhalteten u.a. die Erstellung von Detailrichtlinien für sichere Softwareentwicklung und den sicheren Betrieb der Applikationen, die Koordination von Sicherheitsaudits, das Design und die Koordination des Betriebs der Sicherheitsinfrastruktur sowie die Verantwortung für das Betriebsbudget. Als Projektleiter und Architekt hat er mehrere Projekte im Bereich IT-Sicherheit und IT-Infrastruktur durchgeführt. Maximilian Dermann war als Berater und Softwareentwickler im Bereich Webapplikationssicherheit an insgesamt vier Online-Banking und -Brokerage Projekten beteiligt. Er ist aktives Mitglied des OWASP German Chapters und einer der Co-Autoren des Best Practices Guide für Web Application Firewalls.<br />
<br />
=== Kickstart für sichere Webanwendungen ===<br />
:Der Ansatzpunkte und Maßnahmen zur Absicherung von Webanwendungen gibt es viele - doch wo fange ich an und was ist der für meinen ganz speziellen Fall beste Weg? <br />
<br />
:Der Vortrag gibt einen kompakten Überblick über die verschiedenen Ansatzpunkte zur Absicherung von Webanwendungen, diskutiert Vor- und Nachteile und stellt Erfahrungen aus der Praxis dar.<br />
:[http://www.owasp.org/images/0/0d/OWASP-Germany_2008_Kickstart_fuer_sichere_Webanwendungen.pdf Download Präsentation]<br />
:''Über Thomas Schreiber''<br />
<br />
:Thomas Schreiber ist Geschäftsführer der [http://www.securenet.de/ SecureNet GmbH] und Berater für die Sicherheit von Webanwendungen. Seit vielen Jahren beschäftigt er sich mit Sicherheitsaspekten von Webanwendungen und hat mittlerweile Hunderte von Webanwendungen auf ihre Sicherheit hin untersucht. Er ist Coautor des vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen [http://www.bsi.de/literat/studien/websec/WebSec.pdf Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen].<br />
<br />
=== SOA Sicherheitsarchitektur ===<br />
:Der Einsatz von SOA erfordert ein neues Sicherheitsmodell, da viele altbewährte Lösungen für Benutzermanagement, Authentifizierung, Autorisierung usw. nicht mehr funktionieren. Auch kommen neue Anforderungen hinzu, wie z.B. die Föderation und die Integration mit PKI-Systemen. Dieser Vortrag zeigt die spezifischen Sicherheitsprobleme von SOA von einer Architekturperspektive. Wichtige Standards für SOA, wie Policy Enforcement Point (PEP), Policy Decision Point (PDP), SAML, XACML, und deren konkrete Benutzung werden besprochen. Die Bedeutung von Rollenmodelle und die flexible Einbindung von solchen in SOAs wird auch behandelt.<br />
:[http://www.owasp.org/images/1/14/OWASP_Germany_2008_SOA_Sicherheitsarchitektur.pdf Download Präsentation]<br />
:''Über Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel.<br />
<br />
=== OWASP Best Practices zum Einsatz von Web Application Firewalls ===<br />
:Der Vortrag stellt den vom OWASP Germany Chapter erstellten ''OWASP Best Practices zum Einsatz von Web Application Firewalls'' vor.<br />
<br />
:Das Dokument wendet sich vornehmlich an technische Entscheider - speziell Betriebsverantwortliche, Sicherheitsverantwortliche, Applikationseigner (Fachabteilung, technisch Anwendungsverantwortlicher), die den Einsatz einer WAF im Unternehmen evaluieren. Spezielles Augenmerk wurde – wo immer möglich – auf die Darstellung von Aufwandsabschätzungen gelegt – auch im Vergleich zu möglichen Alternativen wie z. B. Änderungen im Sourcecode.<br />
:[http://www.owasp.org/images/7/74/OWASP_Germany_2008_Best_Practices_Guide_zum_Einsatz_von_Web_Application_Firewalls.pdf Download Präsentation]<br />
:''Über Alex Meisel''<br />
<br />
:Bereits in seiner Informatik-Diplomarbeit beschäftigte Alex Meisel sich mit der Abwehr und der Rückverfolgung von sog. Denial-of-Service- Attacken. Bei einem Schweizer IT-Dienstleister war er als Experte für Web-Sicherheit tätig; anschließend betreute er beim größten europäischen Internet-Knotenpunkt LINX (London Internet Exchange) Mitglieder in Fragen der Netzwerk-Sicherheit. Nach seiner dreijährigen Tätigkeit als Senior Consultant für Design und Implementierung von großen Web-Farmen inkl. Security-Audits bei einem führenden Hersteller von Web-Servern wechselte er als Leiter Projektmanagement zur Realisierung von Web-Applikations-Lösungen im SAP-Umfeld zum gleichen Fortune-500-Unternehmen.<br />
<br />
=== Measuring the Security of Web Applications ===<br />
:Software ist unsicher! "Security Researcher" publizieren nahezu täglich Sicherheitsmängel in Softwareapplikationen in einschlägigen Mailinglisten und Internetforen. Und das bereits seit Jahrzehnten. Softwaresicherheit wird immer wichtiger mit der zunehmenden Vernetzung und Kritikalität der Daten. Daher reservieren Softwarehersteller oft signifikante (aber trotzdem begrenzte) Budgets zur sicheren Softwareentwicklung. Um diese Budgets werben Dienstleister und Hersteller von verschiedensten Sicherheitsprodukten. Oft halten diese Dienste und Produkte nicht das, was das Marketing verspricht. Für Softwarehersteller stellt sich die Frage in welche Prozesse und Technologien in welchem Umfang investiert werden sollte: "Wieviel Sicherheitszuwachs bekommt man für wieviel Aufwand"? In diesem Vortrag beleuchte ich Wege und Irrwege, um dieses Kosten-Nutzen-Verhältnis abzuschätzen und zu optimieren. <br />
:[http://www.owasp.org/images/b/bc/OWASP_Germany_2008_Measuring_the_Security_of_Web_Applications.pdf Download Präsentation]<br />
:''Über Sebastian Schinzel''<br />
<br />
:Sebastian Schinzel ist seit mehr als fünf Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsapplikationen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsapplikationen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. <br />
<br />
=== Security-by-Design durch Einsatz von MVC ===<br />
:Das Frontend von Anwendungen in Model, View und Controller (MVC) zu unterteilen ist sicher eines der wichtigsten Architekturpatterns bei der Entwicklung von Webanwendungen. Für alle relevanten Programmiersprachen existieren hierfür mittlerweile zahlreiche mächtige Frameworks, wie z.B. Struts und Spring MVC für Java oder Symfony für PHP.<br />
<br />
:Neben dem naheliegenden Nutzen für die Strukturierung der Anwendung besitzen MVC-Frameworks aber auch zahlreiche, oft wenig bekannte Möglichkeiten, die es selbst unerfahrenen Entwicklern ermöglichen, nachhaltig sichere Webanwendungen zu erstellen. Weitergehende Sicherheit wie CSRF-Schutz lässt sich mit speziellen MVC-Plugins, wie HDIV, auch nachträglich, in die Anwendung integrieren. <br />
<br />
:Neben diesen Möglichkeiten werden in diesem Vortrag aber auch grundlegende Sicherheitsprobleme betrachtet, die sich mit dem Einsatz von MVC-Frameworks ergeben.<br />
:[http://www.owasp.org/images/d/d7/OWASP_Germany_2008_Security_by_Design_durch_Einsatz_von_MVC.pdf Download Präsentation]<br />
:''Über Mirko Richter und Matthias Rohr''<br />
<br />
:Mirko Richter ist Entwickler sowie Berater für Softwarearchitektur und –sicherheit bei der [http://www.securenet.de/ SecureNet GmbH] in München. Matthias Rohr ist Berater für Webapplikationssicherheit bei der SecureNet GmbH in München.<br />
<br />
=== Server- und Browser-basierte XSS Erkennung ===<br />
:Wenn man sich HTTP Verkehr von Web Applikationen unter dem Gesichtspunkt des Erkennens von eingeschleustem JaveScript-codes betrachtet, fallen zwei einfache Zusammenhänge ins Auge:<br />
<br />
:* Die Menge aller von einer Web Applikation legitim verwendeten JavaScripte ist stark eingeschränkt, was sowohl in Anzahl wie auch in Varianten betrifft, und ist somit maschinell erfassbar. <br />
:* Es gibt einen klaren Zusammenhang zwischen den Parametern eines eingehenden HTTP Requests und den (eventuellen) reflected XSS Scripten, die in der resultierenden Web Seite enthalten sind.<br />
<br />
:Basierend auf diesen beiden Beobachtungen wurden an den Universitäten Hamburg und Passau zwei Detektoren entwickelt, die in der Lage sind XSS Angriffe zu erkennen. Der Vortrag wird beide Erkennungsmethoden vorstellen und aufzeigen wie wir diese auf der Server-seite [1] sowie im Browser [2] umgesetzt haben.<br />
<br />
:Links:<br />
<br />
:[1] Martin Johns, Bjoern Engelmann, Joachim Posegga: XSSDS:<br />
:Server-side detection of cross-site scripting attacks, in Annual Computer Security Applications Conference (ACSAC '08), December 2008, http://databasement.net/docs/2008_ACSAC_johns_Engelmann_Posegga_XSSDS.pdf<br />
<br />
:[2] Jeremias Reith, noXSS, Firefox extension, http://www.noxss.org/<br />
<br />
:[http://www.owasp.org/images/9/9f/OWASP_Germany_2008_Server_und_Browser_basierte_XSS_Erkennung.pdf Download Präsentation]<br />
:''Über Martin Johns und Jeremias Reith''<br />
<br />
:Martin Johns ist wissenschaftlicher Mitarbeiter an der Universität Passau, wo er im Bereich Web- und Software-Sicherheit forscht und gerade den finalen Schliff an seine Doktorarbeit bringt. Vor seinem Eintritt in die akademische Welt, wirkte er als Software Entwickler in verschiedenen Firmen, wie z.B. Infoseek Deutschland, TC Trustcenter und der SAP AG.<br />
<br />
:Jeremias Reith studiert seit 2002 Informatik mit dem Schwerpunkt IT Sicherheit an der Universität Hamburg und arbeitet ausserdem als System-Engineer für ein international agierendes Medienhaus. Momentan schreibt er seine Diplomarbeit mit dem Thema "Reliable reflective XSS detection on the client side" und widmet sich in seiner Freizeit der Firefox-Erweiterung noXSS welche vor XSS-Angriffen schützen soll.<br />
<br />
=== Cross-Site Scripting Filter Evasion ===<br />
:Die Darstellung seiner Individualität ist einer der Schlüsselfaktoren, um im Web 2.0 Business erfolgreich tätig zu sein. Aus diesem Grund erlauben viele Web 2.0 Anwendungen Ihren Benutzern sich freizügig zu präsentieren. Aber diese Praxis erhöht die Risikoanfälligkeit von Cross-Site Scripting Schwachstellen. Der Vortrag untersucht diverse Blacklist- und Whitelist-Ansätze und wie solche Filterregeln umgangen werden können.<br />
:[http://www.owasp.org/images/0/0f/OWASP_Germany_2008_Cross_Site_Scripting_Filter_Evasion.pdf Download Präsentation]<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum deutschen IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
=== Learning of Positive Security Models for Web-Applications ===<br />
<br />
:In vielen Bereichen haben maschinelle Lernverfahren bereits einen großen Einfluß genommen. SPAM-Bekämpfung und Anomalie-basierte Intrusion-Detection wären ohne KI-Ansätze wie Text-Klassifizierung, Clustering oder Outlier-Detection nicht möglich. Im Bereich der Web-Sicherheit gibt es dagegen bisher nur sehr wenige wissenschaftliche Arbeiten, maschinelles Lernen zu verwenden. Auf der anderen Seite werben immer mehr Hersteller von Web Application Firewalls mit selbst-lernenden Systemen ohne Details preiszugeben.<br />
<br />
:Der Vortrag gibt einen Überblick über die (wenigen) wissenschaftlichen Arbeiten zum Thema Web-Sicherheit aus dem Blickwinkel des maschinellen Lernens und stellt ein Projekt vor, das versucht, positive Sicherheitsmodelle für WAF-Systeme aus HTTP-Traffic automatisiert zu erstellen.<br />
:[http://www.owasp.org/images/c/c1/OWASP_Germany_2008_Learning_Positive_Models.pdf Download Präsentation]<br />
:''Über Christian Bockermann''<br />
<br />
:Christian Bockermann ist derzeit wissenschaftlicher Mitarbeiter an der Technischen Universität Dortmund. Nach seiner Diplomarbeit zum Thema "Anomalie-Erkennung in Web-Anwendungen" promoviert er zur Zeit am Lehrstuhl für künstliche Intelligenz im Bereich Web-Sicherheit. Neben einigen Projekten zur Web-Sicherheit betreibt er die Seite jwall.org [http://jwall.org], die einen Teil der Tools bereitstellt, die im Rahmen der Forschungsarbeiten bisher entwickelt wurden.<br />
<br />
=== WMAP - Metasploit 3.2 Module für Pentester von Webapplikationen ===<br />
:War das Metasploit Framework bisher vor allem für Penetrationstest auf Infrastrukturebene interessant, so wurden mit der Einbindung des WMAP Projekts von Efrain Torres eine Reihe von Modulen vorgestellt welche auch bei der Untersuchung einer Webapplikation nützlich sind. Dieser Vortrag zeigt die grundlegende Arbeitsweise mit diesen Modulen.<br />
:[http://www.owasp.org/images/b/b7/OWASP_Germany_2008_WMAP_Metasploit_Module_fuer_Pentester_von_Webapplikationen.pdf Download Präsentation]<br />
:''Über Hans-Martin Münch''<br />
:Hans-Martin Münch arbeitet als Security Consultant bei der Firma it.sec, wo er sich hauptsächlich mit der Durchführung von Penetrationstests befasst. <br />
<br />
=== Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software ===<br />
:Im Rahmen Forschungsprojektes [http://www.secologic.de Secologic] wurden von SAP und Commerzbank u.a. "Goldene Regeln" jeweils für Entwickler, Auftraggeber, Architekten, Tester und IT- Projektleiter entwickelt, die dazu beitragen sollen, die Zahl sicherheitsrelevanter Fehler in Software systematisch zu reduzieren. Das Projekt richtete sich insbesondere an den Mittelstand, wo spezialisiertes Wissen zur Sicherheit von IT-Anwendungen nicht vorausgesetzt werden kann. Die Besonderheit: Nicht nur die Entwickler, sondern auch die (internen oder externen) Auftraggeber werden in die Pflicht genommen. Denn hier sitzt der erste wichtige "Hebel" für die Verbesserung der Softwarequalität.<br />
:[http://www.owasp.org/images/e/e2/OWASP_Germany_2008_Goldene_Regeln_zur_Entwicklung_sicherer_Software.pdf Download Präsentation]<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier arbeitet als Senior Security Consultant bei der [http://www.commerzbank.de Commerzbank AG] und ist Board Member des German OWASP Chapters.<br />
<br />
:''Über Patrick Hildenbrand''<br />
<br />
:Patrick Hildenbrand ist Solution Manager SAP Business ByDesign mit den Schwerpunkten Security, Identity und Access Management und B2B Kommunikation.<br />
<br />
:''Über Tom Schröer''<br />
<br />
:Tom Schröer koordiniert bei der [http://www.sap.com SAP AG] die internen Richtlinien für das sichere Programmieren.<br />
<br />
== Zimmerkontingente ==<br />
<br />
Veranstaltungshotel:<br />
<br />
'''Steigenberger Airport Hotel Frankfurt'''<br />
<br />
Unterschweinstiege 16<br />
<br />
D-60549 Frankfurt am Main<br />
<br />
Internet: www.airporthotel.seigenberger.de<br />
<br />
Zimmerreservierung unter folgendem Abrufkontingent reservierbar<br />
<br />
Telefon: 0049-69-6975 24 26 oder 0049-69-6975 24 27<br />
<br />
Stichwort: OWASP<br />
<br />
Kosten pro Teilnehmer und Übernachtung: 165 Euro ohne Frühstück auf Selbstzahlerbasis<br />
<br />
<br />
<br />
<br />
<br />
Alternative Hotels stehen wir folgt zur Auswahl:<br />
<br />
'''NH Frankfurt Rhein Main'''<br />
<br />
Kelsterbacher Strasse 19-21<br />
<br />
65479 Raunheim<br />
<br />
Internet: www.nh-hotels.com<br />
<br />
Zimmerreservierung unter folgendem Abrufkontingent reservierbar<br />
<br />
Telefon: 0049-6142-99 07 89 <br />
<br />
Stichwort: OWASP<br />
<br />
Kosten pro Teilnehmer und Übernachtung: 128 Euro ohne Frühstück auf Selbstzahlerbasis<br />
<br />
Direkter Hotel Shuttle zum Airport und von dort mit Shuttle zum Steigenberger Airport Hotel Frankfurt<br />
<br />
<br />
<br />
HRS Buchungssysteme:<br />
<br />
Tel 0049-221-2077 600<br />
<br />
Internet: www.hrs.de<br />
<br />
Hier können Sie aus einer großen Auswahl direkt Ihr Hotel aussuchen und gemäß Ihren Ansprüchen gezielt wählen.<br />
<br />
<br />
<br />
<br />
Zurück zur [[Germany|OWASP Germany Homepage]].<br />
<br />
[[Category:Germany]]</div>Thshttps://wiki.owasp.org/index.php?title=File:OWASP_Germany_2008_SOA_Sicherheitsarchitektur.pdf&diff=47004File:OWASP Germany 2008 SOA Sicherheitsarchitektur.pdf2008-11-28T07:45:56Z<p>Ths: OWASP Germany 2008 Präsentation: SOA Sicherheitsarchitektur</p>
<hr />
<div>OWASP Germany 2008 Präsentation: SOA Sicherheitsarchitektur</div>Thshttps://wiki.owasp.org/index.php?title=OWASP_Germany_2008_Conference&diff=46865OWASP Germany 2008 Conference2008-11-27T09:30:25Z<p>Ths: </p>
<hr />
<div>Die deutsche Sektion des Open Web Application Security Projekts (OWASP) richtet erstmals einen Branchentreff für '''Entwickler''', '''IT-Security-Verantwortliche''' und '''IT-Manager''' aus. Ziel der Veranstaltung ist es, eine Plattform zum Erfahrungsaustausch zwischen technischen Entscheidern aufzubauen und herstellerunabhängige Information zum Thema Web-Anwendungssicherheit zur Verfügung zu stellen. <br />
<br />
Die OWASP Germany 2008 Konferenz findet am <br />
<br />
:'''25. November 2008 '''<br />
<br />
mit einer Vorabendveranstaltung im Steigenberger Airport Hotel in '''Frankfurt am Main''' statt. <br />
<br />
(The OWASP Germany 2008 conference will be held on November 25, 2008 in Frankfurt.)<br />
<br />
&nbsp;<br />
&nbsp;<br />
<br />
{{Template:OWASP_Germany_2008_Sponsors}}<br />
<br />
Zurück zur [[Germany|OWASP Germany Homepage]].<br />
<br />
== Agenda ==<br />
{| style="width:80%" border="0" align="center"<br />
! colspan="3" align="center" style="background:#4058A0; color:white" | Montag, 24.11.08 <br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 19:30-open end || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen.<br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen.<br />
<br />
--- Für das leibliche Wohl ist gesorgt. ---<br />
<br />
|-<br />
| style="width:80%" border="0" align="center" ! colspan="3" align="center" style="background:#4058A0; color:#4058A0" | OWASP Germany<br />
|}<br />
<br />
<br />
{| style="width:80%" border="0" align="center"<br />
! colspan="3" align="center" style="background:#4058A0; color:white" | Dienstag, 25.11.08<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 09:00-09:30 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Registrierung und Kaffee<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 09:30-09:45|| colspan="2" style="width:80%; background:#F2F2F2" align="left" | '''Begrüßung'''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 09:45-10:30|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#OWASP Overview (in Englisch) | '''OWASP Overview (in Englisch)''']] [[:Image:Germany 2008 Conference OWASP Introduction v1.pptx|(download)]]<br />
''Sebastien Deleersnyder, OWASP Foundation Board Member''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 10:30-11:15|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen | '''Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen''']] [http://www.owasp.org/images/5/55/OWASP_Germany_2008_Wirtschaftlichkeitsbetrachtungen_von_IT-Sicherheitsmassnahmen.pdf (download)]<br />
''Maximilian Dermann, IT-Security Architect''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 11:15-11:30 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Kaffeepause<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 11:30-12:15|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Kickstart für sichere Webanwendungen |'''Kickstart für sichere Webanwendungen''']] [http://www.owasp.org/images/0/0d/OWASP-Germany_2008_Kickstart_fuer_sichere_Webanwendungen.pdf (download)]<br />
''Thomas Schreiber, SecureNet GmbH''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 12:15-13:00|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#SOA Sicherheitsarchitektur | '''SOA Sicherheitsarchitektur''']]<br />
''Dr. Bruce Sams, OPTIMAbit GmbH''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 13:00-14:00 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Mittagspause<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 14:00-14:45|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Vorstellung des OWASP Best Practices Guide zum Einsatz von Web Application Firewalls | '''Vorstellung des OWASP Best Practices Guide zum Einsatz von Web Application Firewalls''']] [http://www.owasp.org/images/7/74/OWASP_Germany_2008_Best_Practices_Guide_zum_Einsatz_von_Web_Application_Firewalls.pdf (download)]<br />
''Alex Meisel, Art of Defence''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | &nbsp; || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Tracks: 30 Min Präsentation , 10 Min Diskussion + Raumsuche<br />
|-<br />
| style="width:10%; background:#7B8ABD" | &nbsp; || style="width:40%; background:#FFDF80" align="left" | '''Track 1''' <br />
| style="width:40%; background:#A0C0E0" align="left" | '''Track 2''' <br />
|-<br />
| style="width:10%; background:#7B8ABD" | 14:50-15:30 || style="width:40%; background:#FFDF80" align=left" | [[#Measuring the Security of Web Applications | '''Measuring the Security of Web Applications''']] [http://www.owasp.org/images/b/bc/OWASP_Germany_2008_Measuring_the_Security_of_Web_Applications.pdf (download)]<br />
''Sebastian Schinzel, Virtual Forge''<br />
| style="width:40%; background:#a0c0e0 " align=left" | [[#Server- und Browser-basierte XSS Erkennung | '''Server- und Browser-basierte XSS Erkennung''']] [http://www.owasp.org/images/9/9f/OWASP_Germany_2008_Server_und_Browser_basierte_XSS_Erkennung.pdf (download)]<br />
''Martin Johns, Uni Passau, und Jeremias Reith, Uni Hamburg''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 15:30-16:10 || style="width:40%; background:#FFDF80" align=left" | [[#Security-by-Design durch Einsatz von MVC | '''Security-by-Design durch Einsatz von MVC''']] [http://www.owasp.org/images/d/d7/OWASP_Germany_2008_Security_by_Design_durch_Einsatz_von_MVC.pdf (download)]<br />
''Mirko Richter u. Matthias Rohr, SecureNet GmbH''<br />
| style="width:40%; background:#a0c0e0 " align=left" | [[#Cross-Site Scripting Filter Evasion | '''Cross-Site Scripting Filter Evasion''']] [http://www.owasp.org/images/0/0f/OWASP_Germany_2008_Cross_Site_Scripting_Filter_Evasion.pdf (download)]<br />
''Alexios Fakos, n.runs AG''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 16:10-16:30 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Kaffeepause<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 16:30-17:10 || style="width:40%; background:#FFDF80" align=left" | [[#Learning of Positive Security Models for Web-Applications | '''Learning of Positive Security Models for Web-Applications''']] [http://www.owasp.org/images/c/c1/OWASP_Germany_2008_Learning_Positive_Models.pdf (download)]<br />
''Christian Bockermann''<br />
| style="width:40%; background:#a0c0e0 " align=left" | [[#WMAP - Metasploit 3.2 Module für Pentester von Webapplikationen | '''WMAP - Metasploit 3.2 Module für Pentester von Webapplikationen''']] [http://www.owasp.org/images/b/b7/OWASP_Germany_2008_WMAP_Metasploit_Module_fuer_Pentester_von_Webapplikationen.pdf (download)]<br />
''Hans-Martin Münch, it.sec GmbH & Co. KG''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 17:10-17:50|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software | '''Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software''']] [http://www.owasp.org/images/e/e2/OWASP_Germany_2008_Goldene_Regeln_zur_Entwicklung_sicherer_Software.pdf (download)]<br />
''Tom Schröer und Patrick Hildenbrand, SAP; Dr. Boris Hemkemeier, Commerzbank''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 17:50-18:00|| colspan="2" style="width:80%; background:#F2F2F2" align="left" | '''Schlusswort'''<br />
|-<br />
| style="width:80%" border="0" align="center" ! colspan="3" align="center" style="background:#4058A0; color:#4058A0" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''Der Vortrag "Sicherheit von Rich Internet Applications" entfällt leider.''</div><br />
<br />
== Anmeldung und Preise ==<br />
<br />
Bitte melden Sie sich über '''[https://www.infodirekt.de/index.php?id=owasp2008_anmeldung dieses Formular]''' an.<br />
<br />
(Leider steht uns für dieses Mal das Anmeldeportal der OWASP noch nicht zur Verfügung. Wir mussten daher auf einen selbstsignierten https-Server ausweichen, was aber zu einem unschönen Zertifikatsfehler führt. Lassen Sie sich (ausnahmsweise!) davon nicht irritieren und klicken Sie, falls Sie eine Fehlerseite erhalten, auf ''Laden dieser Website fortsetzen (nicht empfohlen)''.)<br />
<br />
'''Preise:'''<br />
{| class="wikitable" <br />
|- valign="bottom"<br />
|style="background-color:#99CCFF" width="112" height="13" | „normaler“ Teilnehmer<br />
| width="60" | 149 EUR<br />
<br />
|- valign="bottom"<br />
|style="background-color:#99CCFF" height="13" | OWASP-Mitglied<br />
| 99 EUR<br />
<br />
|- valign="bottom"<br />
|style="background-color:#99CCFF" height="13" | Studenten<br />
| kostenlos<br />
<br />
|}<br />
<br />
Preise zzgl. MwSt.<br />
<br />
[[#Zimmerkontingente|Zimmerkontingente hier]].<br />
<br />
== Veranstaltungsort ==<br />
<br />
'''[http://www.steigenberger.com/aw/Steigenberger_Airport_Hotel/Hotelinformationen/~zlk/Lage_Anreise/ Steigenberger Airport Hotel]''' (per Bahn und Flieger gleichermaßen gut zu erreichen). [[#Zimmerkontingente|Zimmerkontingente hier]].<br />
<br />
<br />
== Sponsoring ==<br />
<br />
Es besteht die Möglichkeit zum Ausstellen und zum Logo-Sponsoring. [http://www.owasp.org/images/9/98/OWASP_D_2008_Sponsoren_Info.pdf Infos für Sponsoren hier.]<br />
<br />
<br />
== Pressemitteilung ==<br />
<br />
Die Pressemitteilung zur Konferenz finden Sie [https://www.owasp.org/images/b/b3/Owasp-pr-oct08-conf.de.pdf hier].<br />
<br />
== Die Vortr&auml;ge im Einzelnen ==<br />
<br />
=== OWASP Overview (in Englisch) ===<br />
:An introduction to Open Web Application Security Project (OWASP), a worldwide free and open community focused on improving the security of application software. Our mission is to make application security "visible," so that people and organizations can make informed decisions about application security risks.<br />
:[[:Image:Germany 2008 Conference OWASP Introduction v1.pptx|Download Präsentation]]<br />
:''Über Sebastien Deleersnyder''<br />
<br />
:Sebastien started the successful Belgian OWASP Chapter and performed several public presentations on web application and web services security. Sebastien specialises in (web) applicatoin security, combining his software development and information security experience. He is currently OWASP Foundation board member and responsible for the Telindus application security offering in Belgium.<br />
<br />
=== Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen ===<br />
<br />
:Das Problem ist bekannt: alle sind sich einig, dass Webanwendungen sicher sein sollten, aber niemand kann sagen, wie viel Aufwand zu deren Absicherung noch wirtschaftlich ist. Dieser Vortrag zeigt pragmatische, praxiserprobte Ansätze auf, sich einer Wirtschaftlichkeitsbetrachtung zu nähern.<br />
:[http://www.owasp.org/images/5/55/OWASP_Germany_2008_Wirtschaftlichkeitsbetrachtungen_von_IT-Sicherheitsmassnahmen.pdf Download Präsentation]<br />
:''Über Maximilian Dermann''<br />
<br />
:Maximilian Dermann ist selbstständiger IT-Security Architect. Er war bei Lufthansa Technik für mehr als fünf Jahre für die Sicherheit und den Betrieb der zuletzt über 60 eBusiness Applikationen zuständig. Seine Aufgaben beinhalteten u.a. die Erstellung von Detailrichtlinien für sichere Softwareentwicklung und den sicheren Betrieb der Applikationen, die Koordination von Sicherheitsaudits, das Design und die Koordination des Betriebs der Sicherheitsinfrastruktur sowie die Verantwortung für das Betriebsbudget. Als Projektleiter und Architekt hat er mehrere Projekte im Bereich IT-Sicherheit und IT-Infrastruktur durchgeführt. Maximilian Dermann war als Berater und Softwareentwickler im Bereich Webapplikationssicherheit an insgesamt vier Online-Banking und -Brokerage Projekten beteiligt. Er ist aktives Mitglied des OWASP German Chapters und einer der Co-Autoren des Best Practices Guide für Web Application Firewalls.<br />
<br />
=== Kickstart für sichere Webanwendungen ===<br />
:Der Ansatzpunkte und Maßnahmen zur Absicherung von Webanwendungen gibt es viele - doch wo fange ich an und was ist der für meinen ganz speziellen Fall beste Weg? <br />
<br />
:Der Vortrag gibt einen kompakten Überblick über die verschiedenen Ansatzpunkte zur Absicherung von Webanwendungen, diskutiert Vor- und Nachteile und stellt Erfahrungen aus der Praxis dar.<br />
:[http://www.owasp.org/images/0/0d/OWASP-Germany_2008_Kickstart_fuer_sichere_Webanwendungen.pdf Download Präsentation]<br />
:''Über Thomas Schreiber''<br />
<br />
:Thomas Schreiber ist Geschäftsführer der [http://www.securenet.de/ SecureNet GmbH] und Berater für die Sicherheit von Webanwendungen. Seit vielen Jahren beschäftigt er sich mit Sicherheitsaspekten von Webanwendungen und hat mittlerweile Hunderte von Webanwendungen auf ihre Sicherheit hin untersucht. Er ist Coautor des vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen [http://www.bsi.de/literat/studien/websec/WebSec.pdf Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen].<br />
<br />
=== SOA Sicherheitsarchitektur ===<br />
:Der Einsatz von SOA erfordert ein neues Sicherheitsmodell, da viele altbewährte Lösungen für Benutzermanagement, Authentifizierung, Autorisierung usw. nicht mehr funktionieren. Auch kommen neue Anforderungen hinzu, wie z.B. die Föderation und die Integration mit PKI-Systemen. Dieser Vortrag zeigt die spezifischen Sicherheitsprobleme von SOA von einer Architekturperspektive. Wichtige Standards für SOA, wie Policy Enforcement Point (PEP), Policy Decision Point (PDP), SAML, XACML, und deren konkrete Benutzung werden besprochen. Die Bedeutung von Rollenmodelle und die flexible Einbindung von solchen in SOAs wird auch behandelt.<br />
<br />
:''Über Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel.<br />
<br />
=== OWASP Best Practices zum Einsatz von Web Application Firewalls ===<br />
:Der Vortrag stellt den vom OWASP Germany Chapter erstellten ''OWASP Best Practices zum Einsatz von Web Application Firewalls'' vor.<br />
<br />
:Das Dokument wendet sich vornehmlich an technische Entscheider - speziell Betriebsverantwortliche, Sicherheitsverantwortliche, Applikationseigner (Fachabteilung, technisch Anwendungsverantwortlicher), die den Einsatz einer WAF im Unternehmen evaluieren. Spezielles Augenmerk wurde – wo immer möglich – auf die Darstellung von Aufwandsabschätzungen gelegt – auch im Vergleich zu möglichen Alternativen wie z. B. Änderungen im Sourcecode.<br />
:[http://www.owasp.org/images/7/74/OWASP_Germany_2008_Best_Practices_Guide_zum_Einsatz_von_Web_Application_Firewalls.pdf Download Präsentation]<br />
:''Über Alex Meisel''<br />
<br />
:Bereits in seiner Informatik-Diplomarbeit beschäftigte Alex Meisel sich mit der Abwehr und der Rückverfolgung von sog. Denial-of-Service- Attacken. Bei einem Schweizer IT-Dienstleister war er als Experte für Web-Sicherheit tätig; anschließend betreute er beim größten europäischen Internet-Knotenpunkt LINX (London Internet Exchange) Mitglieder in Fragen der Netzwerk-Sicherheit. Nach seiner dreijährigen Tätigkeit als Senior Consultant für Design und Implementierung von großen Web-Farmen inkl. Security-Audits bei einem führenden Hersteller von Web-Servern wechselte er als Leiter Projektmanagement zur Realisierung von Web-Applikations-Lösungen im SAP-Umfeld zum gleichen Fortune-500-Unternehmen.<br />
<br />
=== Measuring the Security of Web Applications ===<br />
:Software ist unsicher! "Security Researcher" publizieren nahezu täglich Sicherheitsmängel in Softwareapplikationen in einschlägigen Mailinglisten und Internetforen. Und das bereits seit Jahrzehnten. Softwaresicherheit wird immer wichtiger mit der zunehmenden Vernetzung und Kritikalität der Daten. Daher reservieren Softwarehersteller oft signifikante (aber trotzdem begrenzte) Budgets zur sicheren Softwareentwicklung. Um diese Budgets werben Dienstleister und Hersteller von verschiedensten Sicherheitsprodukten. Oft halten diese Dienste und Produkte nicht das, was das Marketing verspricht. Für Softwarehersteller stellt sich die Frage in welche Prozesse und Technologien in welchem Umfang investiert werden sollte: "Wieviel Sicherheitszuwachs bekommt man für wieviel Aufwand"? In diesem Vortrag beleuchte ich Wege und Irrwege, um dieses Kosten-Nutzen-Verhältnis abzuschätzen und zu optimieren. <br />
:[http://www.owasp.org/images/b/bc/OWASP_Germany_2008_Measuring_the_Security_of_Web_Applications.pdf Download Präsentation]<br />
:''Über Sebastian Schinzel''<br />
<br />
:Sebastian Schinzel ist seit mehr als fünf Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsapplikationen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsapplikationen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. <br />
<br />
=== Security-by-Design durch Einsatz von MVC ===<br />
:Das Frontend von Anwendungen in Model, View und Controller (MVC) zu unterteilen ist sicher eines der wichtigsten Architekturpatterns bei der Entwicklung von Webanwendungen. Für alle relevanten Programmiersprachen existieren hierfür mittlerweile zahlreiche mächtige Frameworks, wie z.B. Struts und Spring MVC für Java oder Symfony für PHP.<br />
<br />
:Neben dem naheliegenden Nutzen für die Strukturierung der Anwendung besitzen MVC-Frameworks aber auch zahlreiche, oft wenig bekannte Möglichkeiten, die es selbst unerfahrenen Entwicklern ermöglichen, nachhaltig sichere Webanwendungen zu erstellen. Weitergehende Sicherheit wie CSRF-Schutz lässt sich mit speziellen MVC-Plugins, wie HDIV, auch nachträglich, in die Anwendung integrieren. <br />
<br />
:Neben diesen Möglichkeiten werden in diesem Vortrag aber auch grundlegende Sicherheitsprobleme betrachtet, die sich mit dem Einsatz von MVC-Frameworks ergeben.<br />
:[http://www.owasp.org/images/d/d7/OWASP_Germany_2008_Security_by_Design_durch_Einsatz_von_MVC.pdf Download Präsentation]<br />
:''Über Mirko Richter und Matthias Rohr''<br />
<br />
:Mirko Richter ist Entwickler sowie Berater für Softwarearchitektur und –sicherheit bei der [http://www.securenet.de/ SecureNet GmbH] in München. Matthias Rohr ist Berater für Webapplikationssicherheit bei der SecureNet GmbH in München.<br />
<br />
=== Server- und Browser-basierte XSS Erkennung ===<br />
:Wenn man sich HTTP Verkehr von Web Applikationen unter dem Gesichtspunkt des Erkennens von eingeschleustem JaveScript-codes betrachtet, fallen zwei einfache Zusammenhänge ins Auge:<br />
<br />
:* Die Menge aller von einer Web Applikation legitim verwendeten JavaScripte ist stark eingeschränkt, was sowohl in Anzahl wie auch in Varianten betrifft, und ist somit maschinell erfassbar. <br />
:* Es gibt einen klaren Zusammenhang zwischen den Parametern eines eingehenden HTTP Requests und den (eventuellen) reflected XSS Scripten, die in der resultierenden Web Seite enthalten sind.<br />
<br />
:Basierend auf diesen beiden Beobachtungen wurden an den Universitäten Hamburg und Passau zwei Detektoren entwickelt, die in der Lage sind XSS Angriffe zu erkennen. Der Vortrag wird beide Erkennungsmethoden vorstellen und aufzeigen wie wir diese auf der Server-seite [1] sowie im Browser [2] umgesetzt haben.<br />
<br />
:Links:<br />
<br />
:[1] Martin Johns, Bjoern Engelmann, Joachim Posegga: XSSDS:<br />
:Server-side detection of cross-site scripting attacks, in Annual Computer Security Applications Conference (ACSAC '08), December 2008, http://databasement.net/docs/2008_ACSAC_johns_Engelmann_Posegga_XSSDS.pdf<br />
<br />
:[2] Jeremias Reith, noXSS, Firefox extension, http://www.noxss.org/<br />
<br />
:[http://www.owasp.org/images/9/9f/OWASP_Germany_2008_Server_und_Browser_basierte_XSS_Erkennung.pdf Download Präsentation]<br />
:''Über Martin Johns und Jeremias Reith''<br />
<br />
:Martin Johns ist wissenschaftlicher Mitarbeiter an der Universität Passau, wo er im Bereich Web- und Software-Sicherheit forscht und gerade den finalen Schliff an seine Doktorarbeit bringt. Vor seinem Eintritt in die akademische Welt, wirkte er als Software Entwickler in verschiedenen Firmen, wie z.B. Infoseek Deutschland, TC Trustcenter und der SAP AG.<br />
<br />
:Jeremias Reith studiert seit 2002 Informatik mit dem Schwerpunkt IT Sicherheit an der Universität Hamburg und arbeitet ausserdem als System-Engineer für ein international agierendes Medienhaus. Momentan schreibt er seine Diplomarbeit mit dem Thema "Reliable reflective XSS detection on the client side" und widmet sich in seiner Freizeit der Firefox-Erweiterung noXSS welche vor XSS-Angriffen schützen soll.<br />
<br />
=== Cross-Site Scripting Filter Evasion ===<br />
:Die Darstellung seiner Individualität ist einer der Schlüsselfaktoren, um im Web 2.0 Business erfolgreich tätig zu sein. Aus diesem Grund erlauben viele Web 2.0 Anwendungen Ihren Benutzern sich freizügig zu präsentieren. Aber diese Praxis erhöht die Risikoanfälligkeit von Cross-Site Scripting Schwachstellen. Der Vortrag untersucht diverse Blacklist- und Whitelist-Ansätze und wie solche Filterregeln umgangen werden können.<br />
:[http://www.owasp.org/images/0/0f/OWASP_Germany_2008_Cross_Site_Scripting_Filter_Evasion.pdf Download Präsentation]<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum deutschen IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
=== Learning of Positive Security Models for Web-Applications ===<br />
<br />
:In vielen Bereichen haben maschinelle Lernverfahren bereits einen großen Einfluß genommen. SPAM-Bekämpfung und Anomalie-basierte Intrusion-Detection wären ohne KI-Ansätze wie Text-Klassifizierung, Clustering oder Outlier-Detection nicht möglich. Im Bereich der Web-Sicherheit gibt es dagegen bisher nur sehr wenige wissenschaftliche Arbeiten, maschinelles Lernen zu verwenden. Auf der anderen Seite werben immer mehr Hersteller von Web Application Firewalls mit selbst-lernenden Systemen ohne Details preiszugeben.<br />
<br />
:Der Vortrag gibt einen Überblick über die (wenigen) wissenschaftlichen Arbeiten zum Thema Web-Sicherheit aus dem Blickwinkel des maschinellen Lernens und stellt ein Projekt vor, das versucht, positive Sicherheitsmodelle für WAF-Systeme aus HTTP-Traffic automatisiert zu erstellen.<br />
:[http://www.owasp.org/images/c/c1/OWASP_Germany_2008_Learning_Positive_Models.pdf Download Präsentation]<br />
:''Über Christian Bockermann''<br />
<br />
:Christian Bockermann ist derzeit wissenschaftlicher Mitarbeiter an der Technischen Universität Dortmund. Nach seiner Diplomarbeit zum Thema "Anomalie-Erkennung in Web-Anwendungen" promoviert er zur Zeit am Lehrstuhl für künstliche Intelligenz im Bereich Web-Sicherheit. Neben einigen Projekten zur Web-Sicherheit betreibt er die Seite jwall.org [http://jwall.org], die einen Teil der Tools bereitstellt, die im Rahmen der Forschungsarbeiten bisher entwickelt wurden.<br />
<br />
=== WMAP - Metasploit 3.2 Module für Pentester von Webapplikationen ===<br />
:War das Metasploit Framework bisher vor allem für Penetrationstest auf Infrastrukturebene interessant, so wurden mit der Einbindung des WMAP Projekts von Efrain Torres eine Reihe von Modulen vorgestellt welche auch bei der Untersuchung einer Webapplikation nützlich sind. Dieser Vortrag zeigt die grundlegende Arbeitsweise mit diesen Modulen.<br />
:[http://www.owasp.org/images/b/b7/OWASP_Germany_2008_WMAP_Metasploit_Module_fuer_Pentester_von_Webapplikationen.pdf Download Präsentation]<br />
:''Über Hans-Martin Münch''<br />
:Hans-Martin Münch arbeitet als Security Consultant bei der Firma it.sec, wo er sich hauptsächlich mit der Durchführung von Penetrationstests befasst. <br />
<br />
=== Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software ===<br />
:Im Rahmen Forschungsprojektes [http://www.secologic.de Secologic] wurden von SAP und Commerzbank u.a. "Goldene Regeln" jeweils für Entwickler, Auftraggeber, Architekten, Tester und IT- Projektleiter entwickelt, die dazu beitragen sollen, die Zahl sicherheitsrelevanter Fehler in Software systematisch zu reduzieren. Das Projekt richtete sich insbesondere an den Mittelstand, wo spezialisiertes Wissen zur Sicherheit von IT-Anwendungen nicht vorausgesetzt werden kann. Die Besonderheit: Nicht nur die Entwickler, sondern auch die (internen oder externen) Auftraggeber werden in die Pflicht genommen. Denn hier sitzt der erste wichtige "Hebel" für die Verbesserung der Softwarequalität.<br />
:[http://www.owasp.org/images/e/e2/OWASP_Germany_2008_Goldene_Regeln_zur_Entwicklung_sicherer_Software.pdf Download Präsentation]<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier arbeitet als Senior Security Consultant bei der [http://www.commerzbank.de Commerzbank AG] und ist Board Member des German OWASP Chapters.<br />
<br />
:''Über Patrick Hildenbrand''<br />
<br />
:Patrick Hildenbrand ist Solution Manager SAP Business ByDesign mit den Schwerpunkten Security, Identity und Access Management und B2B Kommunikation.<br />
<br />
:''Über Tom Schröer''<br />
<br />
:Tom Schröer koordiniert bei der [http://www.sap.com SAP AG] die internen Richtlinien für das sichere Programmieren.<br />
<br />
== Zimmerkontingente ==<br />
<br />
Veranstaltungshotel:<br />
<br />
'''Steigenberger Airport Hotel Frankfurt'''<br />
<br />
Unterschweinstiege 16<br />
<br />
D-60549 Frankfurt am Main<br />
<br />
Internet: www.airporthotel.seigenberger.de<br />
<br />
Zimmerreservierung unter folgendem Abrufkontingent reservierbar<br />
<br />
Telefon: 0049-69-6975 24 26 oder 0049-69-6975 24 27<br />
<br />
Stichwort: OWASP<br />
<br />
Kosten pro Teilnehmer und Übernachtung: 165 Euro ohne Frühstück auf Selbstzahlerbasis<br />
<br />
<br />
<br />
<br />
<br />
Alternative Hotels stehen wir folgt zur Auswahl:<br />
<br />
'''NH Frankfurt Rhein Main'''<br />
<br />
Kelsterbacher Strasse 19-21<br />
<br />
65479 Raunheim<br />
<br />
Internet: www.nh-hotels.com<br />
<br />
Zimmerreservierung unter folgendem Abrufkontingent reservierbar<br />
<br />
Telefon: 0049-6142-99 07 89 <br />
<br />
Stichwort: OWASP<br />
<br />
Kosten pro Teilnehmer und Übernachtung: 128 Euro ohne Frühstück auf Selbstzahlerbasis<br />
<br />
Direkter Hotel Shuttle zum Airport und von dort mit Shuttle zum Steigenberger Airport Hotel Frankfurt<br />
<br />
<br />
<br />
HRS Buchungssysteme:<br />
<br />
Tel 0049-221-2077 600<br />
<br />
Internet: www.hrs.de<br />
<br />
Hier können Sie aus einer großen Auswahl direkt Ihr Hotel aussuchen und gemäß Ihren Ansprüchen gezielt wählen.<br />
<br />
<br />
<br />
<br />
Zurück zur [[Germany|OWASP Germany Homepage]].<br />
<br />
[[Category:Germany]]</div>Thshttps://wiki.owasp.org/index.php?title=File:OWASP_Germany_2008_Server_und_Browser_basierte_XSS_Erkennung.pdf&diff=46864File:OWASP Germany 2008 Server und Browser basierte XSS Erkennung.pdf2008-11-27T09:08:07Z<p>Ths: OWASP Germany 2008 Präsentation: Server- und Browser-basierte XSS Erkennung</p>
<hr />
<div>OWASP Germany 2008 Präsentation: Server- und Browser-basierte XSS Erkennung</div>Thshttps://wiki.owasp.org/index.php?title=File:OWASP_Germany_2008_Measuring_the_Security_of_Web_Applications.pdf&diff=46863File:OWASP Germany 2008 Measuring the Security of Web Applications.pdf2008-11-27T09:05:44Z<p>Ths: OWASP Germany 2008 Präsentation: Measuring the Security of Web Applications</p>
<hr />
<div>OWASP Germany 2008 Präsentation: Measuring the Security of Web Applications</div>Thshttps://wiki.owasp.org/index.php?title=File:OWASP_Germany_2008_Best_Practices_Guide_zum_Einsatz_von_Web_Application_Firewalls.pdf&diff=46862File:OWASP Germany 2008 Best Practices Guide zum Einsatz von Web Application Firewalls.pdf2008-11-27T09:01:18Z<p>Ths: OWASP Germany 2008 Präsentation: Vorstellung des OWASP Best Practices Guide zum Einsatz von Web Application Firewalls</p>
<hr />
<div>OWASP Germany 2008 Präsentation: Vorstellung des OWASP Best Practices Guide zum Einsatz von Web Application Firewalls</div>Thshttps://wiki.owasp.org/index.php?title=File:OWASP-Germany_2008_Kickstart_fuer_sichere_Webanwendungen.pdf&diff=46861File:OWASP-Germany 2008 Kickstart fuer sichere Webanwendungen.pdf2008-11-27T08:58:58Z<p>Ths: OWASP Germany 2008 Präsentation: Kickstart für sichere Webanwendungen</p>
<hr />
<div>OWASP Germany 2008 Präsentation: Kickstart für sichere Webanwendungen</div>Thshttps://wiki.owasp.org/index.php?title=File:OWASP_Germany_2008_Wirtschaftlichkeitsbetrachtungen_von_IT-Sicherheitsmassnahmen.pdf&diff=46860File:OWASP Germany 2008 Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmassnahmen.pdf2008-11-27T08:57:40Z<p>Ths: OWASP Germany 2008 Präsentation: Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen</p>
<hr />
<div>OWASP Germany 2008 Präsentation: Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen</div>Thshttps://wiki.owasp.org/index.php?title=File:OWASP_Germany_2008_Security_by_Design_durch_Einsatz_von_MVC.pdf&diff=46859File:OWASP Germany 2008 Security by Design durch Einsatz von MVC.pdf2008-11-27T08:55:44Z<p>Ths: OWASP Germany 2008 Präsentation: Security-by-Design durch Einsatz von MVC</p>
<hr />
<div>OWASP Germany 2008 Präsentation: Security-by-Design durch Einsatz von MVC</div>Thshttps://wiki.owasp.org/index.php?title=File:OWASP_Germany_2008_Learning_Positive_Models.pdf&diff=46858File:OWASP Germany 2008 Learning Positive Models.pdf2008-11-27T08:54:39Z<p>Ths: OWASP Germany 2008 Präsentation: Learning of Positive Security Models for Web-Applications</p>
<hr />
<div>OWASP Germany 2008 Präsentation: Learning of Positive Security Models for Web-Applications</div>Thshttps://wiki.owasp.org/index.php?title=File:OWASP_Germany_2008_Goldene_Regeln_zur_Entwicklung_sicherer_Software.pdf&diff=46857File:OWASP Germany 2008 Goldene Regeln zur Entwicklung sicherer Software.pdf2008-11-27T08:53:42Z<p>Ths: OWASP Germany 2008 Präsentation: Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software</p>
<hr />
<div>OWASP Germany 2008 Präsentation: Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software</div>Thshttps://wiki.owasp.org/index.php?title=File:OWASP_Germany_2008_Cross_Site_Scripting_Filter_Evasion.pdf&diff=46856File:OWASP Germany 2008 Cross Site Scripting Filter Evasion.pdf2008-11-27T08:52:02Z<p>Ths: OWASP Germany 2008 Präsentation: Cross-Site Scripting Filter Evasion</p>
<hr />
<div>OWASP Germany 2008 Präsentation: Cross-Site Scripting Filter Evasion</div>Ths