OWASP - User contributions [en]

German OWASP Day 2011

2011-06-11T09:34:45Z

Ulrike Petersen:

__NOTOC__ 

[[Image:owasp germany_logo.png|center]] 
<center style="font-size: 150%;">Die führende deutsche Konferenz zur Web Application Security</center>

 

==== OWASP AppSec Germany 2011 ====

[[Image:owasp_germany_logo.png|right|190x71px]] Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten drei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden. Die diesjährige Konferenz wird in München stattfinden, natürlich gibt es auch dieses Jahr wieder ein Vorabendevent zum Netzwerken, Kennenlernen und Diskutieren.

Details folgen in Kürze.

<center> </center>
 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Konferenzdaten ==

=== Wo? ===

Die Konferenz findet im NH-Hotel München Dornach statt.

Derzeit suchen wir noch einen Ort für unser Vorabendevent.

=== Wann? ===

Vorabendveranstaltung: 16.11.2011

Konferenz: 17.11.2011

 

 

== Organisation ==

* Georg Hess (Chapter Leader)
* Bruce Sams (Board Member)
* Tobias Glemser (Board Member)
* Achim Hoffmann (Board Member)
* Boris Hemkemeier (Board Member)
* Ulrike Petersen (Board Member)

 

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die vierte Konferenz OWASP AppSec Germany 2011 am 17.11.2011 aus. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2011 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. Auch fachübergreifende, nicht-technische Themen sind willkommen.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 16.11.2011.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''30.08.2011''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2011 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.09.2011.
*Einreichung der Foliensätze (prefinal): 15.10.2011
*Konferenz: 17.11.2011, Vorabendveranstaltung am 16.11.2011

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the fourth OWASP AppSec Germany conference on the 17th of November 2011 in Nuremberg. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2011 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 16th of November 2011. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 30 August 2011''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2011 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 September 2011.
*Prefinal submission of the slides by 15 October 2011
*Conference: November 17, 2011. Evening program on the 17th of November, 2011

 

==== Agenda / Presentations ====

Die Agenda für die OWASP AppSec Germany 2011:

== Agenda ==

Comming Soon ;)

====   Anmeldung ====

Comming Soon

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

*normaler Teilnehmer (Early Bird) = 219,00 EUR(*)
*normaler Teilnehmer = 279,00 EUR
*OWASP-Mitglied (Early Bird) = 189,00 EUR(*)
*OWASP-Mitglied = 219,00 EUR
*Studenten = 59 EUR (**)

(*) Eine Registrierung zu Early-Bird Preisen ist bis zum 30.9.2011 möglich

(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Comming soon ;)

 

 

==== Vorabendveranstaltung ====

TBD

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2011 setzen Sie auch in diesem Jahr wieder ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2011 in München statt. Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).



==== Kontakt / Contact ====

[mailto:ulrike.petersen@owasp.org ulrike.petersen@owasp.org]

<headertabs />

German OWASP Day 2011

2011-06-11T09:33:25Z

Ulrike Petersen:

__NOTOC__ 

[[Image:owasp germany_logo.png|center]] 
<center style="font-size: 150%;">Die führende deutsche Konferenz zur Web Application Security</center>

 

==== OWASP AppSec Germany 2011 ====

[[Image:owasp_germany_logo.png|right|190x71px]] Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten drei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center> </center>
 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Konferenzdaten ==

=== Wo? ===

Die Konferenz findet im NH-Hotel München Dornach statt.

Derzeit suchen wir noch einen Ort für unser Vorabendevent.

=== Wann? ===

Vorabendveranstaltung: 16.11.2011

Konferenz: 17.11.2011

 

 

== Organisation ==

* Georg Hess (Chapter Leader)
* Bruce Sams (Board Member)
* Tobias Glemser (Board Member)
* Achim Hoffmann (Board Member)
* Boris Hemkemeier (Board Member)
* Ulrike Petersen (Board Member)

 

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die vierte Konferenz OWASP AppSec Germany 2011 am 17.11.2011 aus. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2011 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. Auch fachübergreifende, nicht-technische Themen sind willkommen.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 16.11.2011.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''30.08.2011''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2011 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.09.2011.
*Einreichung der Foliensätze (prefinal): 15.10.2011
*Konferenz: 17.11.2011, Vorabendveranstaltung am 16.11.2011

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the fourth OWASP AppSec Germany conference on the 17th of November 2011 in Nuremberg. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2011 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 16th of November 2011. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 30 August 2011''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2011 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 September 2011.
*Prefinal submission of the slides by 15 October 2011
*Conference: November 17, 2011. Evening program on the 17th of November, 2011

 

==== Agenda / Presentations ====

Die Agenda für die OWASP AppSec Germany 2011:

== Agenda ==

Comming Soon ;)

====   Anmeldung ====

Comming Soon

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

*normaler Teilnehmer (Early Bird) = 219,00 EUR(*)
*normaler Teilnehmer = 279,00 EUR
*OWASP-Mitglied (Early Bird) = 189,00 EUR(*)
*OWASP-Mitglied = 219,00 EUR
*Studenten = 59 EUR (**)

(*) Eine Registrierung zu Early-Bird Preisen ist bis zum 30.9.2011 möglich

(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Comming soon ;)

 

 

==== Vorabendveranstaltung ====

TBD

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2011 setzen Sie auch in diesem Jahr wieder ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2011 in München statt. Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).



==== Kontakt / Contact ====

[mailto:ulrike.petersen@owasp.org ulrike.petersen@owasp.org]

<headertabs />

German OWASP Day 2011

2011-06-11T09:21:27Z

Ulrike Petersen:

__NOTOC__ 

[[Image:owasp germany_logo.png|center]] 
<center style="font-size: 150%;">Die führende deutsche Konferenz zur Web Application Security</center>

 

==== OWASP AppSec Germany 2011 ====

[[Image:owasp_germany_logo.png|right|190x71px]] Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten drei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center> </center>
 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Konferenzdaten ==

=== Wo? ===

Die Konferenz findet im NH-Hotel München Dornach statt.

Derzeit suchen wir noch einen Ort für unser Vorabendevent.

=== Wann? ===

Vorabendveranstaltung: 16.11.2011

Konferenz: 17.11.2011

 

 

== Organisation ==

* Georg Hess (Chapter Leader)
* Bruce Sams (Board Member)
* Tobias Glemser (Board Member)
* Achim Hoffmann (Board Member)
* Boris Hemkemeier (Board Member)
* Ulrike Petersen (Board Member)

 

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die vierte Konferenz OWASP AppSec Germany 2011 am 17.11.2011 aus. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2011 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. Auch fachübergreifende, nicht-technische Themen sind willkommen.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 16.11.2011.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''30.08.2011''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2011 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.09.2011.
*Einreichung der Foliensätze (prefinal): 15.10.2011
*Konferenz: 17.11.2011, Vorabendveranstaltung am 16.11.2011

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the fourth OWASP AppSec Germany conference on the 17th of November 2011 in Nuremberg. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2011 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 16th of November 2011. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 30 August 2011''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2011 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 September 2011.
*Prefinal submission of the slides by 15 October 2011
*Conference: November 17, 2011. Evening program on the 17th of November, 2011

 

==== Agenda / Presentations ====

Die Agenda für die OWASP AppSec Germany 2011:

== Agenda ==

Comming Soon ;)

====   Anmeldung ====

Comming Soon

Die Anmeldung zur OWASP ist nun online.

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

*normaler Teilnehmer (Early Bird) = 219,00 EUR(*)
*normaler Teilnehmer = 279,00 EUR
*OWASP-Mitglied (Early Bird) = 189,00 EUR(*)
*OWASP-Mitglied = 219,00 EUR
*Studenten = 59 EUR (**)

(*) Eine Registrierung zu Early-Bird Preisen ist bis zum 30.9.2011 möglich

(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Comming soon ;)

 

 

==== Vorabendveranstaltung ====

TBD

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2011 setzen Sie auch in diesem Jahr wieder ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2011 in München statt. Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).



==== Kontakt / Contact ====

[mailto:ulrike.petersen@owasp.org ulrike.petersen@owasp.org]

<headertabs />

German OWASP Day 2011

2011-06-10T20:59:42Z

Ulrike Petersen:

German OWASP Day 2011

2011-06-10T20:58:09Z

Ulrike Petersen:

German OWASP Day 2011

2011-06-10T20:51:01Z

Ulrike Petersen:

Germany

2011-06-10T20:45:08Z

Ulrike Petersen:

__NOTOC__ 
{{Chapter Template|chaptername=Germany|extra=The chapter leader is [mailto:Georg.Hess@artofdefence.com Georg Heß]. Chapter Board members are: [mailto:tobias.glemser@owasp.org Tobias Glemser], [mailto:boris@owasp.org Boris Hemkemeier], [mailto:achim@owasp.org Achim Hoffmann], [mailto:ulrike.petersen@owasp.org Uli Petersen], Bruce Sams. |mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-germany|emailarchives=http://lists.owasp.org/pipermail/owasp-germany
}}

 

 

==== OWASP Germany ====

[[Image:owasp_germany_logo.png|right|190x71px]] 

Herzlich Willkommen auf der Homepage des OWASP German Chapter.

== News: OWASP AppSec 2011 ==

Auch dieses Jahr wird es eine Konferenz des German Chapter geben. Details finden Sie auf der AppSec-Homepage 2011:

[[OWASP AppSec Germany 2011 Conference|OWASP AppSec Germany 2011 Conference]]

 

==== News ====

*17.11.2011: OWASP AppSec Germany 2011
*April 2011: Initiierung des German Language Project
*12 October 2009: [[Projektierung der Sicherheitsprüfung von Webanwendungen|Projektierung der Sicherheitsprüfung von Webanwendungen]]
*10 September 2008: [[Best Practices: Web Application Firewalls|Best Practices: Web Application Firewalls wiki pages]]
*17 July 2008: OWASP Germany released [https://www.owasp.org/images/a/a6/Best_Practices_Guide_WAF_v104.en.pdf Best Practices: Use of Web Application Firewalls (English)] 
*18 March 2008: OWASP Germany released [http://www.owasp.org/images/1/1b/Best_Practices_Guide_WAF.pdf Best Practices: Einsatz von Web Application Firewalls (German)]
*07 September 2007: Chapter meeting in Frankfurt
*18 July 2007: scheduled chapter meeting on September 7th 2007
*02 Mar 2007: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.bund.de/fachthem/betriebssysteme/indigo/index.htm#indigoen Indigo Security] (engl: 'Indigo Security').

*23 Feb 2007: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.de/literat/studien/tomcat/index.htm Apache Tomcat Sicherheitsuntersuchung] (engl: 'Apache Tomcat Security Assessment').

*06 Sept 2006: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [https://www.bsi.bund.de/cae/servlet/contentblob/476464/publicationFile/30632/WebSec_pdf.pdf Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen] (engl: 'Measures and Best Practices for Web Application Security').

'''OWASP Moves to MediaWiki Portal - 11:05, 20 May 2006 (EDT)'''

OWASP is pleased to announce the arrival of OWASP 2.0!

OWASP 2.0 utilizes the MediaWiki portal to manage and provide the latest OWASP related information. Enjoy!

 

==== Projekte des German Chapter ====

== Projektierung der Sicherheitsprüfungen von Webanwendungen ==

[[Projektierung der Sicherheitsprüfung von Webanwendungen|Projektierung der Sicherheitsprüfung von Webanwendungen]]

== Best Practices: Web Application Firewalls ==

[[Best Practices: Web Application Firewalls|Best Practices: Web Application Firewalls wiki pages]]

== German Language Project ==

{| width="100%"
| width="70%" style="vertical-align:top; padding-right:0.5em;" |

Obwohl die ''lingua franca'' [1] in der IT Englisch ist, fragen auch Fachleute immer wieder nach Texten in Deutsch. Für einige (Fach-)Artikel gibt es schon Übersetzungen. Inspiriert durch das [[OWASP Spanish|OWASP Spanish Project]] und [[OWASP Portuguese Language Project|OWASP Portuguese Language Project]] ist die Idee entstanden, wichtige Dokumente usw. auch in Deutsch zur Verfügung zu stellen. Einzelne Ansätze dazu gab es zwar schon, diese und weitere werden jetzt zentral üeber das '''[[OWASP German Language Project|OWASP German Language Project]]''' verwaltet.

Wir laden alle Interessierte herzlich ein mit Kommentaren und Übersetzungen beizutragen und so wichtige Aspekte der Web Application Security auch in Deutsch zu formulieren, so dass ein noch größeres Publikum erreicht wird.
Weiter Detail findet Ihr auf der [[OWASP German Language Project|Projektseite]]. [[User:Mrohr|Matthias Rohr]], der Project Leader, freut sich über Eure tatkräftige Unterstützung.
----
[1] ''lingua franca'', man sieht an diesem Ausdruck, dass auch die Lateiner wussten, welches die Verkehrssprache ist ☺

| width="30%" style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
The [[OWASP German Language Project|OWASP German Language Project]] is a new OWASP Project that will provide a foundation, guideance and common terminology for German translations. Any comments are welcome ...
|}

==== OWASP Stammtisch-Initiative ====

A "regular's table" (Stammtisch) is a German tradition for meeting each other in a beer garden or a pub in order to discuss certain topics (and to drink beer, of course ;-). 

In the case of an [http://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative OWASP-Stammtisch] it's all about Web Application Security. Right now a Stammtisch is established in [http://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative#tab=M.C3.BCnchen Munich], [http://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative#tab=K.C3.B6ln Cologne], [http://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative#tab=Frankfurt Frankfurt], [http://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative#tab=Stuttgart Stuttgart] 

 

==== Chapter Meetings ====

== Chapter Meeting am 20.5.2010 in München ==

=== Agenda ===

* 14:00 Allgemeine Begrüßungs- und Vorstellungsrunde
* 14:15 Bruce Sams: „Strategie und Kosten für ein SDLC“
* 14:50 Diskussion
* 15:10 Boris Hemkemeier: „Two Factors Are Not Enough“
* 16:05 Diskussion (geht nahtlos über in die)
* 16:15 Kaffeepause
* 16:35 Vortrag mit Diskussion „Organisatorisches im Chapter“
* 17:15 Beginn der Beschlussfassungen und Wahlen
* 17:25 Vortrag mit Diskussion „OWASP Germany Conferenc 2010“

=== Organisatorisches im Chapter ===

Die Wesentlichen Punkte, die umgesetzt oder verbessert werden sollen:

* Mehr Außenwirkung durch Public Relations, bessere Pressearbeit / Pressemitteilungen und Einführung und Pflege einer Sprecher- und Rednerliste (um z.B. bei öffentlichen Veranstaltungen OWASP adäquat vorstellen zu können)
* Gepflegtes Wiki sowohl für Außendarstellung als auch als Plattform für die interne Kommunikation
* Einführung von direkten Ansprechpartner für diverse Branchen

Es folgt eine kurze Diskussion, wie dies effektiv umgesetzt werden kann. Es wird ein Vorschlag durch konkludentes Handeln angenommen: Es soll ein Chapter Board bestehend aus 5 Mitgliedern gewählt werden. Jedes dieser Mitglieder bekommt eine oder mehrere dedizierte Aufgabe(n), um die oben genannten Punkte abzudecken und umzusetzen. Es folgt ein Aufruf, sich für eine entsprechende Wahl zur Verfügung zu stellen. Es soll ebenso der neue Chapter Leader gewählt werden. Da sich nur ein Kandidat für nur einen Posten zur Wahl für die nächsten zwei Jahre zur Verfügung stellt, wird folgendes entschieden: Bei Abstimmungen hat jedes Mitglied des Boards genau eine Stimme, während der Chapter Leader zwei Stimmen hat. So soll zukünftig bei Abstimmungen eine Stimmengleichheit verhindert werden.

=== Beschluss zur Anzahl der Chapter Leaders ===

Es wird von den 12 Teilnehmern des Chapter Meetings einstimmig beschlossen, das zukünftig das Chapter Germany (analog zu den meisten anderen OWASP Chapters) nur noch einen Chapter Leader hat.

=== Wahl des Chapter Leaders ===

'''Georg Heß''' kandidiert als Chapter Leader und wird mit 11 von 12 Stimmen bei einer Enthaltung zum neuen Chapter Leader des OWASP Chapters Germany gewählt.

=== Beschluss zur zukünftigen Zusammensetzung des Boards ===

Einstimmig wird beschlossen, dass das zukünftige Board aus 5 Mitgliedern besteht. Diese sollen die Aufgaben wie in der Diskussion beschrieben wahr nehmen.

=== Wahl des Boards ===

Es kandidieren '''Tobias Glemser, Boris Hemkemeier, Achim Hoffmann, Uli Petersen und Bruce Sams ''' für die 5 Sitze im Board. Alle werden einstimmig gewählt.

Alle Gewählten nehmen die Wahl an.

=== OWASP AppSec 2010 ===

Es folgt ein kurzer historischer Rückblick der Veranstaltungsorte: 2008 im Hotel in Frankfurt, 2009 auf der Messe it-sa in Nürnberg. Kurze Diskussion pro und contra Hotel vs. Messe vs. Hochschul-Location.

* Es soll geprüft werden, ob die diesjährige '''„OWASP Germany Conference 2010“''' wieder in Kooperation mit der Messe Nürnberg / it-sa durchgeführt werden kann (z.B. am 20.10.2010).
* Weiterhin ist ein Konferenztag mit '''zwei verschiedenen Tracks (Technik und Management)''' angedacht.
* Um die inhaltliche Gestaltung voranzutreiben wird ein '''Programm-Komitee''' (initial bestehend aus '''Bruce Sams, Kai Jendrian, Boris Hemkemeier und Martin Johns''') ins Leben gerufen, das alsbald den '''CFP''' starten soll.

Gegen 18:15 löst sich das OWASP German Chapter Meeting auf und geht nahtlos in den 12. „Happy Anniversary!“ OWASP Stammtisch München über.

== OWASP German Chapter Meeting - February 20th, 2008 in Darmstadt ==

'''Date: February 20th, 2008, 11:00-16:15''' '''Location: Darmstadt, CAST (http://www.cast-forum.de)''' Fraunhoferstr. 5 (vormals Rundeturmstr. 6) - EG Room 072 - [http://www.cast-forum.de/workshops/anfahrt.html Anfahrt] 

The next chapter meeting will be hosted at CAST in Darmstadt. This time the focus is on technical presentations and discussion. '''Agenda''' Technical presentation slots will consist of 20-30 minute presentation and 15 minute discussion.

*1. (11:00 - 11:15) Welcome, Introduction and Administrativia
*2. (11:15 - 11:30) Vorstellung von CAST (Dr. Heinemann)
*3. (11:30 - 11:45) Short OWASP organisation introduction and update (Tobias Gondrom)
*4. (11:45 - 12:30) First technical presentation "Best Practices beim Einsatz einer Web Application Firewall 1.0" (Slides: [http://www.owasp.org/images/1/1b/WAF-Paper.pdf PDF]) (Alexander Meisel)
*5. (12:30 - 13:15) Break
*6. (13:15 - 14:00) Second technical presentation "Defending against Web Application DoS Attacks" (Maximilian Dermann)
*7. (14:00 - 14:45) 20-Minutes Talks (15 Min Presentation + 5-10 Min Discuss)
**"Input validation in ASP.NET -- tips, tricks & pitfalls" (Boris Hemkemeier)
**"Managing of extremely large Web Application Firewall Installations" (Slides: [http://www.owasp.org/images/f/f6/VeryLargeWAFs.pdf PDF]) (Alexander Meisel)
*8. (14:45 - 15:00) Coffee Break
*9. (15:00 - 15:45) Fourth technical presentation "Secure Coding and Development Guidelines (part of CLASP)" (Tobias)
*10. (15:45 - 16:00) Wrap-up and outlook

 

== Chapter Meeting on September 7th 2007 in Frankfurt/Main ==

After two years of absence the German Chapter has been restarted. The chapter meeting was on September 7th 2007, 15:00 - 18:00.

This first chapter meeting had as its main goal the re-initiation of the German chapter and to start work on projects. Talks and presentations are secondary and will receive more focus at subsequent meetings.

'''[https://lists.owasp.org/pipermail/owasp-germany/2007-September/000038.html Read meeting notes/minutes here]'''

 

==== Past Events ====

=== OWASP AppSec Germany 2009 Conference 13.10.09 in Nürnberg ===

Die OWASP AppSec Germany 2009 Conference fand am 13.10.09 mit einer Vorabendveranstalung am 12.10.09 in Nürnberg statt.(The OWASP AppSec Germany 2009 conference will be held on October 13, 2009 in Nürnberg) Die Vorträge * Vorstellung des Open Web Application Security Project * OWASP Education Project * Praktische Erfahrung mit dem Secure Software Lifecycle * Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen * Adaptive Sicherheit durch Anomalieerkennung * Design Bugs * JavaScript aus der Hölle - advanced client side injection techniques of tomorrow * Projektierung der Sicherheitsprüfung von Webanwendungenen * Pentestvorbereitung: Sitemap für Webanwendungen (Tools) OWASP German Chapter Meeting 10th July, 2009 at Mannheim OWASP German Chapter Meeting 10th July, 2009 at Mannheim ===

'''Summary:''' We will start with three interesting fresh talks. The following topics are the next activities of the OWASP German Chapter: the new [http://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative "Stammtisch Initiative"] and the planning of the [http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference OWASP AppSec Germany 2009] at Nuremberg.

'''Location:''' Aula of the [http://www.hs-mannheim.de Hochschule Mannheim], Building 3, Paul-Wittsack-Strasse 10, Mannheim ([http://maps.google.de/maps?f=d&source=s_d&saddr=Mannheim+Hbf&daddr=49.471303,8.48372&geocode=Fbr-8gIduTmBAA%3B&hl=de&mra=dme&mrcr=0&mrsp=1&sz=15&sll=49.474885,8.474715&sspn=0.015532,0.050254&ie=UTF8&z=15 Google Maps]). Please download the [http://www.hs-mannheim.de/campus/grafik/campusplan_legende_web.pdf campus map].

 '''Agenda:'''

12:00 - 13:00 : Lunch (optional, '''please send an email to [mailto:Georg.Hess@artofdefence.com?subject=OWASP%20Chapter%20Meeting%20Lunch%20registration Georg Heß] to register for lunch'''), meeting point for the lunch is at the Aula in Building 3.

13:15 - 13:30 : Opening by our host Prof. Rainer Gerten (German)

13:30 - 14:30 : OWASP Educational Services - Teaching Security!, Martin Knobloch, Member of OWASP Global Education Committee (English)

14:30 - 15:00 : Vorstellung und aktueller Stand des OWASP Germany Projekts "Best Practice: Projektierung von Sicherheitsprüfungen von Web Applikationen", N.N., Projekt-Mitarbeiter (German)

15:00 - 15:45 : Cloud Application Security - Chancen und Risiken - Einige Ansatzpunkte zum Thema, Georg Hess (German)

15:45 - 16:15 : Coffee

16:15 - 17:00 : Organisational topics of the OWASP German Chapter (German)

- OWASP Stammtisch Initiative
- Outlook and organisational tasks for the 2nd [[OWASP Germany 2009 Conference]]

nach 17:00 : Come together (Any ideas for a near pub??)

'''Minutes''' [https://lists.owasp.org/pipermail/owasp-germany/2009-July/000086.html See the list archive for the minutes.]

 

=== Wir sind auf der SYSTEMS 08 in München ===

Besuchen Sie uns vom 21.10. - 24.10.08 in der

:'''IT-SecurityArea - Halle B3, Stand 228'''

 

=== OWASP Germany 2008 Conference 25.11.08 in Frankfurt ===

Die [[OWASP Germany 2008 Conference]] wird am 25.11.08 mit einer Vorabendveranstalung am 24.11.08 in Frankfurt stattfinden.

(The OWASP Germany 2008 conference will be held on November 25, 2008 in Frankfurt.)

==== comments ====

If you want to participate in the work of the German OWASP chapter or offer to submit work to it and cannot attend the meeting, please contact [[User:Tgondrom|Tobias]] or send an email to our [mailto:owasp-germany@lists.owasp.org chapter mailing list].

==== Press Relations ====

Press Relations of the OWASP German Chapter are currently directed exclusively towards the local press. We therefore do not provide english translations. .

*[http://www.owasp.org/index.php?title=Germany/press Press relations]

<headertabs />

[[Category:Germany]]
[[Category:Europe]]

German OWASP Day 2011

2011-06-10T20:28:41Z

Ulrike Petersen:

German OWASP Day 2011

2011-04-03T20:19:35Z

Ulrike Petersen: Created page with "__NOTOC__  center <center style="font-size: 150%;">Die führende deutsche Konferenz zur Web Application Security</center> ..."

__NOTOC__ 

[[Image:Appsec germany 2010.png|center]] 
<center style="font-size: 150%;">Die führende deutsche Konferenz zur Web Application Security</center>

 

==== OWASP AppSec Germany 2011 ====

[[Image:Appsec germany 2010.png|right|190x71px]] Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten drei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center> </center>
 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Konferenzdaten ==

TBD

 

=== Wo? ===

TBD

=== Wann? ===

Vorabendveranstaltung: TBD

Konferenz: TBD

 

 

== Organisation ==

TBD

 

==== Agenda / Presentations ====

Die Agenda für die OWASP AppSec Germany 2010:

== Agenda ==

== Slides der Vorträge ==

== Details zu den Vorträgen ==

====   Anmeldung ====

Comming Soon

== Preise ==

== Anmeldeseite ==

 

 

==== Vorabendveranstaltung ====

TBD

==== Anreise ====

==== Infos für Sponsoren ====

TBD

==== Call for Papers - German Version ====

TBD

 

==== Call for Papers - English Version ====

==== Kontakt / Contact ====

[mailto:ulrike.petersen@owasp.org ulrike.petersen@owasp.org]

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-09-26T20:28:42Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

[[Image:Appsec germany 2010.png|right|190x71px]] Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center> </center>
 

== Sponsoren ==

Wir danken unseren Sponsoren:

{{Template:OWASP_Germany_2010_Sponsors}}

 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/). Als Teilnehmer der OWASP AppSec Germany 2010 haben Sie an allen Tagen freien Eintritt zur it-sa. Mit Ihrer Anmeldung erhalten Sie von uns die entsprechende eGastticket-Nummer, um sich auch dort zu registrieren.

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agenda für die OWASP AppSec Germany 2010 steht fest!

== Agenda ==

{| border="0" align="center" style="width: 80%;" class="FCK__ShowTableBorders"
|-
| align="center" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" colspan="4" | '''20. Oktober 2010'''
 

|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 
| style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 - Raum 1
| style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2 - Raum 2
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:00 - 9:15
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | Begrüßung
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:15 - 10:15
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | Keynote -- ''Sebastian Klipper'' Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 10:15 - 11:00
| align="center" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" colspan="3" | ''Tom Brennan'' Current State of Application Security Adoption
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:00 - 11:30
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Kaffeepause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Der OWASP ASVS Standard, ''Matthias Rohr'' 
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques?, ''Martin Johns''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:00 - 12:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Developing Secure Applications with OWASP, ''Martin Knobloch''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Seitenkanalschwachstellen im Web erkennen und verhindern, ''Sebastian Schinzel''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:30 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Mittagspause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 14:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | OWASP Top 10, die Vierte: Was t/nun? '' Dr. Dirk Wetter''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Härtung von SAP HTTP- und Webservices, ''Frederik Weidemann''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:30 - 15:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes, ''Dr. Ingo Hanke'' und ''Daniel Bartschies''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | WATOBO - Web Application Toolbox, ''Andreas Schmidt'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:00 - 15:30
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Pause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:30 - 16:30
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud), ''Alexander Meisel''
 (Und Abschlussworte)

|}

 

== Details zu den Vorträgen ==

=== ''Keynote:'' Sebastian Klipper — Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 ===

Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8

Unterschiedliche Akteure in Unternehmen und Behörden erleben unterschiedliche Realitäten. Bei Sicherheitsmaßnahmen sind die Abweichungen zwischen Mitarbeitern, Chefs und Fachleuten besonders groß.

Fehlt die Kompetenz '''auf''' oder fehlt sie '''für''' OSI-Layer 8?

=== [http://www.owasp.org/index.php/User:Brennan Tom Brennan] — Current State of Application Security Adoption ===

(Englischer Vortrag): Web application security is critically important - today 75% of attacks are clearly targeting your web applications. In this rapidly evolving landscape professionals - developers, IT, management and information security - all have an important part in web application security.

Founded in 2001, Tom Brennan will provide a review, refresh and update about the OWASP Foundation including the who, what and how we can help.

 

=== Matthias Rohr — Der OWASP ASVS-Standard ===

In diesem Vortrag soll der OWASP ASVS-Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

 

=== Martin Johns — Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

*will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
*set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
*identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

 

=== Alexander Meisel — distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

 

=== Martin Knobloch — Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

 

=== Dr. Dirk Wetter — OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal. Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

 

=== Sebastian Schinzel — Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

 

=== Andreas Schmidt — WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde. Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten. Abgerundet wird die Präsentation durch eine kurze Demonstration.

 

=== Frederik Weidemann — Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

*wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
*welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

*Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
*Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
*Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
*Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
*Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

*Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
*Übersicht über SAPs Web Security Szenarios
*Risiken bei der Entwicklung von eigenen HTTP Handlern
*Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

 

=== Dr. Ingo Hanke and Daniel Bartschies — Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

 

====   Anmeldung ====

Die Anmeldung zur OWASP ist nun online.

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

*normaler Teilnehmer = 229,00 EUR
*OWASP-Mitglied = 169,00 EUR
*Studenten = 39 EUR (**)

(**) Der gültige Studentenausweis ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite:

https://owasp.artofdefence.com

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz, die im Barfüßer in Nürnberg stattfindet (http://www.barfuesser-nuernberg.de/).

In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen.

 

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben. Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

[mailto:ulrike.petersen@owasp.org ulrike.petersen@owasp.org]

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-09-23T22:35:45Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

[[Image:Appsec germany 2010.png|right|190x71px]] Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center> </center>
 

== Sponsoren ==

Wir danken unseren Sponsoren:

{{Template:OWASP_Germany_2010_Sponsors}}

 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/). Als Teilnehmer der OWASP AppSec Germany 2010 haben Sie an allen Tagen freien Eintritt zur it-sa. Mit Ihrer Anmeldung erhalten Sie von uns die entsprechende eGastticket-Nummer, um sich auch dort zu registrieren.

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agenda für die OWASP AppSec Germany 2010 steht fest!

== Agenda ==

{| border="0" align="center" style="width: 80%;" class="FCK__ShowTableBorders"
|-
| align="center" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" colspan="4" | '''20. Oktober 2010'''
 

|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 
| style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 - Raum 1
| style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2 - Raum 2
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:00 - 9:15
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | Begrüßung
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:15 - 10:15
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | Keynote -- ''Sebastian Klipper'' Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 10:15 - 11:00
| align="center" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" colspan="3" | ''Tom Brennan'' Current State of Application Security Adoption
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:00 - 11:30
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Kaffeepause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Der OWASP ASVS Standard, ''Matthias Rohr'' 
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques?, ''Martin Johns''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:00 - 12:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Developing Secure Applications with OWASP, ''Martin Knobloch''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Seitenkanalschwachstellen im Web erkennen und verhindern, ''Sebastian Schinzel''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:30 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Mittagspause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 14:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | OWASP Top 10, die Vierte: Was t/nun? '' Dr. Dirk Wetter''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Härtung von SAP HTTP- und Webservices, ''Frederik Weidemann''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:30 - 15:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes, ''Dr. Ingo Hanke'' und ''Daniel Bartschies''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | WATOBO - Web Application Toolbox, ''Andreas Schmidt'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:00 - 15:30
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Pause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:30 - 16:30
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud), ''Alexander Meisel''
 (Und Abschlussworte)

|}

 

== Details zu den Vorträgen ==

=== ''Keynote:'' Sebastian Klipper — Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 ===

Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8

Unterschiedliche Akteure in Unternehmen und Behörden erleben unterschiedliche Realitäten. Bei Sicherheitsmaßnahmen sind die Abweichungen zwischen Mitarbeitern, Chefs und Fachleuten besonders groß.

Fehlt die Kompetenz '''auf''' oder fehlt sie '''für''' OSI-Layer 8?

=== [http://www.owasp.org/index.php/User:Brennan Tom Brennan] — Current State of Application Security Adoption ===

(Englischer Vortrag): Web application security is critically important - today 75% of attacks are clearly targeting your web applications. In this rapidly evolving landscape professionals - developers, IT, management and information security - all have an important part in web application security.

Founded in 2001, Tom Brennan will provide a review, refresh and update about the OWASP Foundation including the who, what and how we can help.

 

=== Matthias Rohr — Der OWASP ASVS-Standard ===

In diesem Vortrag soll der OWASP ASVS-Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

 

=== Martin Johns — Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

*will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
*set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
*identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

 

=== Alexander Meisel — distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

 

=== Martin Knobloch — Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

 

=== Dr. Dirk Wetter — OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal. Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

 

=== Sebastian Schinzel — Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

 

=== Andreas Schmidt — WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde. Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten. Abgerundet wird die Präsentation durch eine kurze Demonstration.

 

=== Frederik Weidemann — Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

*wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
*welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

*Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
*Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
*Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
*Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
*Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

*Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
*Übersicht über SAPs Web Security Szenarios
*Risiken bei der Entwicklung von eigenen HTTP Handlern
*Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

 

=== Dr. Ingo Hanke and Daniel Bartschies — Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

 

====   Anmeldung ====

Die Anmeldung zur OWASP ist nun online.

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

*normaler Teilnehmer = 229,00 EUR
*Early Bird normaler Teilnehmer = 169,00 EUR (*)
*OWASP-Mitglied = 169,00 EUR
*Early Bird OWASP-Mitglied = 139,00 EUR (*)
*Studenten = 39 EUR (**)

(*) Early Bird Angebot gilt bis 20.09.2010. (**) Der gültige Studentenausweis ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite:

https://owasp.artofdefence.com

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz, die im Barfüßer in Nürnberg stattfindet (http://www.barfuesser-nuernberg.de/).

In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen.

 

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben. Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

[mailto:ulrike.petersen@owasp.org ulrike.petersen@owasp.org]

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-09-23T20:48:59Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

[[Image:Appsec germany 2010.png|right|190x71px]] Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center> </center>
 

== Sponsoren ==

Wir danken unseren Sponsoren:

{{Template:OWASP_Germany_2010_Sponsors}}

 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agenda für die OWASP AppSec Germany 2010 steht fest!

== Agenda ==

{| border="0" align="center" style="width: 80%;" class="FCK__ShowTableBorders"
|-
| align="center" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" colspan="4" | '''20. Oktober 2010'''
 

|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 
| style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 - Raum 1
| style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2 - Raum 2
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:00 - 9:15
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | Begrüßung
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:15 - 10:15
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | Keynote -- ''Sebastian Klipper'' Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 10:15 - 11:00
| align="center" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" colspan="3" | ''Tom Brennan'' Current State of Application Security Adoption
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:00 - 11:30
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Kaffeepause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Der OWASP ASVS Standard, ''Matthias Rohr'' 
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques?, ''Martin Johns''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:00 - 12:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Developing Secure Applications with OWASP, ''Martin Knobloch''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Seitenkanalschwachstellen im Web erkennen und verhindern, ''Sebastian Schinzel''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:30 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Mittagspause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 14:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | OWASP Top 10, die Vierte: Was t/nun? '' Dr. Dirk Wetter''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Härtung von SAP HTTP- und Webservices, ''Frederik Weidemann''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:30 - 15:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes, ''Dr. Ingo Hanke'' und ''Daniel Bartschies''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | WATOBO - Web Application Toolbox, ''Andreas Schmidt'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:00 - 15:30
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Pause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:30 - 16:30
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud), ''Alexander Meisel''
 (Und Abschlussworte)

|}

 

== Details zu den Vorträgen ==

=== ''Keynote:'' Sebastian Klipper — Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 ===

Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8

Unterschiedliche Akteure in Unternehmen und Behörden erleben unterschiedliche Realitäten. Bei Sicherheitsmaßnahmen sind die Abweichungen zwischen Mitarbeitern, Chefs und Fachleuten besonders groß.

Fehlt die Kompetenz '''auf''' oder fehlt sie '''für''' OSI-Layer 8?

=== [http://www.owasp.org/index.php/User:Brennan Tom Brennan] — Current State of Application Security Adoption ===

(Englischer Vortrag): Web application security is critically important - today 75% of attacks are clearly targeting your web applications. In this rapidly evolving landscape professionals - developers, IT, management and information security - all have an important part in web application security.

Founded in 2001, Tom Brennan will provide a review, refresh and update about the OWASP Foundation including the who, what and how we can help.

 

=== Matthias Rohr — Der OWASP ASVS-Standard ===

In diesem Vortrag soll der OWASP ASVS-Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

 

=== Martin Johns — Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

*will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
*set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
*identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

 

=== Alexander Meisel — distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

 

=== Martin Knobloch — Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

 

=== Dr. Dirk Wetter — OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal. Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

 

=== Sebastian Schinzel — Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

 

=== Andreas Schmidt — WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde. Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten. Abgerundet wird die Präsentation durch eine kurze Demonstration.

 

=== Frederik Weidemann — Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

*wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
*welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

*Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
*Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
*Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
*Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
*Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

*Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
*Übersicht über SAPs Web Security Szenarios
*Risiken bei der Entwicklung von eigenen HTTP Handlern
*Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

 

=== Dr. Ingo Hanke and Daniel Bartschies — Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

 

====   Anmeldung ====

Die Anmeldung zur OWASP ist nun online.

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

*normaler Teilnehmer = 229,00 EUR
*Early Bird normaler Teilnehmer = 169,00 EUR (*)
*OWASP-Mitglied = 169,00 EUR
*Early Bird OWASP-Mitglied = 139,00 EUR (*)
*Studenten = 39 EUR (**)

(*) Early Bird Angebot gilt bis 20.09.2010. (**) Der gültige Studentenausweis ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite:

https://owasp.artofdefence.com

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz, die im Barfüßer in Nürnberg stattfindet (http://www.barfuesser-nuernberg.de/).

In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen.

 

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben. Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

[mailto:ulrike.petersen@owasp.org ulrike.petersen@owasp.org]

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-09-23T20:48:26Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

[[Image:Appsec germany 2010.png|right|190x71px]] Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center> </center>
 

== Sponsoren ==

Wir danken unseren Sponsoren:

{{Template:OWASP_Germany_2010_Sponsors}}

 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agenda für die OWASP AppSec Germany 2010 steht fest!

== Agenda ==

{| border="0" align="center" style="width: 80%;" class="FCK__ShowTableBorders"
|-
| align="center" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" colspan="4" | '''20. Oktober 2010'''
 

|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 
| style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 - Raum 1
| style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2 - Raum 2
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:00 - 9:15
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | Begrüßung
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:15 - 10:15
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | Keynote -- ''Sebastian Klipper'' Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 10:15 - 11:00
| align="center" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" colspan="3" | ''Tom Brennan'' Current State of Application Security Adoption
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:00 - 11:30
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Kaffeepause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Der OWASP ASVS Standard, ''Matthias Rohr'' 
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques?, ''Martin Johns''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:00 - 12:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Developing Secure Applications with OWASP, ''Martin Knobloch''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Seitenkanalschwachstellen im Web erkennen und verhindern, ''Sebastian Schinzel''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:30 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Mittagspause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 14:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | OWASP Top 10, die Vierte: Was t/nun? '' Dr. Dirk Wetter''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Härtung von SAP HTTP- und Webservices, ''Frederik Weidemann''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:30 - 15:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes, ''Dr. Ingo Hanke'' und ''Daniel Bartschies''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | WATOBO - Web Application Toolbox, ''Andreas Schmidt'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:00 - 15:30
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Pause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:30 - 16:30
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud), ''Alexander Meisel''
 (Und Abschlussworte)

|}

 

== Details zu den Vorträgen ==

=== ''Keynote:'' Sebastian Klipper — Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 ===

Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8

Unterschiedliche Akteure in Unternehmen und Behörden erleben unterschiedliche Realitäten. Bei Sicherheitsmaßnahmen sind die Abweichungen zwischen Mitarbeitern, Chefs und Fachleuten besonders groß.

Fehlt die Kompetenz '''auf''' oder fehlt sie '''für''' OSI-Layer 8?

=== [http://www.owasp.org/index.php/User:Brennan Tom Brennan] — Current State of Application Security Adoption ===

(Englischer Vortrag): Web application security is critically important - today 75% of attacks are clearly targeting your web applications. In this rapidly evolving landscape professionals - developers, IT, management and information security - all have an important part in web application security.

Founded in 2001, Tom Brennan will provide a review, refresh and update about the OWASP Foundation including the who, what and how we can help.

 

=== Matthias Rohr — Der OWASP ASVS-Standard ===

In diesem Vortrag soll der OWASP ASVS-Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

 

=== Martin Johns — Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

*will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
*set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
*identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

 

=== Alexander Meisel — distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

 

=== Martin Knobloch — Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

 

=== Dr. Dirk Wetter — OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal. Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

 

=== Sebastian Schinzel — Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

 

=== Andreas Schmidt — WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde. Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten. Abgerundet wird die Präsentation durch eine kurze Demonstration.

 

=== Frederik Weidemann — Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

*wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
*welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

*Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
*Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
*Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
*Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
*Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

*Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
*Übersicht über SAPs Web Security Szenarios
*Risiken bei der Entwicklung von eigenen HTTP Handlern
*Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

 

=== Dr. Ingo Hanke and Daniel Bartschies — Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

 

====   Anmeldung ====

Die Anmeldung zur OWASP ist nun online.

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

*normaler Teilnehmer = 229,00 EUR
*Early Bird normaler Teilnehmer = 169,00 EUR (*)
*OWASP-Mitglied = 169,00 EUR
*Early Bird OWASP-Mitglied = 139,00 EUR (*)
*Studenten = 39 EUR (**)

(*) Early Bird Angebot gilt bis 20.09.2010. (**) Der gültige Studentenausweis ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite:

https://owasp.artofdefence.com

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz, die im Barfüßer in Nürnberg stattfindet (http://www.barfuesser-nuernberg.de/).

In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen.

 

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben. Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

[mailto:ulrike.petersen@owasp.org]

<headertabs />

Template:OWASP Germany 2010 Sponsors

2010-09-23T20:32:11Z

Ulrike Petersen:

{|
|-
|   
|     [http://www.artofdefence.com/ http://www.owasp.org/images/thumb/0/08/Aod.png/120px-Aod.png]
|     [http://www.securenet.de/ http://www.owasp.org/images/thumb/2/25/SecureNet.png/120px-SecureNet.png]
|     [http://www.lions-head.com/ http://www.owasp.org/images/thumb/c/c2/Lionshead.png/120px-Lionshead.png]
|     [http://www.schutzwerk.com http://www.owasp.org/images/7/75/Schutzwerk.png]
|     
|-
|     
|}

File:Schutzwerk.png

2010-09-23T20:31:25Z

Ulrike Petersen:

OWASP AppSec Germany 2010 Conference

2010-09-23T20:23:42Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

[[Image:Appsec germany 2010.png|right|190x71px]] Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center> </center>
 

== Sponsoren ==

Wir danken unseren Sponsoren:

{{Template:OWASP_Germany_2010_Sponsors}}

 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agenda für die OWASP AppSec Germany 2010 steht fest!

== Agenda ==

{| border="0" align="center" style="width: 80%;" class="FCK__ShowTableBorders"
|-
| align="center" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" colspan="4" | '''20. Oktober 2010'''
 

|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 
| style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 - Raum 1
| style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2 - Raum 2
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:00 - 9:15
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | Begrüßung
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:15 - 10:15
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | Keynote -- ''Sebastian Klipper'' Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 10:15 - 11:00
| align="center" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" colspan="3" | ''Tom Brennan'' Current State of Application Security Adoption
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:00 - 11:30
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Kaffeepause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Der OWASP ASVS Standard, ''Matthias Rohr'' 
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques?, ''Martin Johns''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:00 - 12:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Developing Secure Applications with OWASP, ''Martin Knobloch''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Seitenkanalschwachstellen im Web erkennen und verhindern, ''Sebastian Schinzel''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:30 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Mittagspause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 14:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | OWASP Top 10, die Vierte: Was t/nun? '' Dr. Dirk Wetter''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Härtung von SAP HTTP- und Webservices, ''Frederik Weidemann''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:30 - 15:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes, ''Dr. Ingo Hanke'' und ''Daniel Bartschies''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | WATOBO - Web Application Toolbox, ''Andreas Schmidt'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:00 - 15:30
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Pause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:30 - 16:30
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud), ''Alexander Meisel''
 (Und Abschlussworte)

|}

 

== Details zu den Vorträgen ==

=== ''Keynote:'' Sebastian Klipper — Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 ===

Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8

Unterschiedliche Akteure in Unternehmen und Behörden erleben unterschiedliche Realitäten. Bei Sicherheitsmaßnahmen sind die Abweichungen zwischen Mitarbeitern, Chefs und Fachleuten besonders groß.

Fehlt die Kompetenz '''auf''' oder fehlt sie '''für''' OSI-Layer 8?

=== [http://www.owasp.org/index.php/User:Brennan Tom Brennan] — Current State of Application Security Adoption ===

(Englischer Vortrag): Web application security is critically important - today 75% of attacks are clearly targeting your web applications. In this rapidly evolving landscape professionals - developers, IT, management and information security - all have an important part in web application security.

Founded in 2001, Tom Brennan will provide a review, refresh and update about the OWASP Foundation including the who, what and how we can help.

 

=== Matthias Rohr — Der OWASP ASVS-Standard ===

In diesem Vortrag soll der OWASP ASVS-Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

 

=== Martin Johns — Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

*will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
*set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
*identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

 

=== Alexander Meisel — distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

 

=== Martin Knobloch — Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

 

=== Dr. Dirk Wetter — OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal. Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

 

=== Sebastian Schinzel — Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

 

=== Andreas Schmidt — WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde. Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten. Abgerundet wird die Präsentation durch eine kurze Demonstration.

 

=== Frederik Weidemann — Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

*wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
*welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

*Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
*Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
*Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
*Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
*Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

*Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
*Übersicht über SAPs Web Security Szenarios
*Risiken bei der Entwicklung von eigenen HTTP Handlern
*Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

 

=== Dr. Ingo Hanke and Daniel Bartschies — Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

 

====   Anmeldung ====

Die Anmeldung zur OWASP ist nun online.

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

*normaler Teilnehmer = 229,00 EUR
*Early Bird normaler Teilnehmer = 169,00 EUR (*)
*OWASP-Mitglied = 169,00 EUR
*Early Bird OWASP-Mitglied = 139,00 EUR (*)
*Studenten = 39 EUR (**)

(*) Early Bird Angebot gilt bis 20.09.2010. (**) Der gültige Studentenausweis ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite:

https://owasp.artofdefence.com

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz, die im Barfüßer in Nürnberg stattfindet (http://www.barfuesser-nuernberg.de/).

In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen.

 

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben. Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-09-23T20:22:39Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

[[Image:Appsec germany 2010.png|right|190x71px]] Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center> </center>
 

== Sponsoren ==

Wir danken unseren Sponsoren:

{{Template:OWASP_Germany_2010_Sponsors}}

 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agenda für die OWASP AppSec Germany 2010 steht fest!

== Agenda ==

{| border="0" align="center" style="width: 80%;" class="FCK__ShowTableBorders"
|-
| align="center" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" colspan="4" | '''20. Oktober 2010'''
 

|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 
| style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 - Raum 1
| style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2 - Raum 2
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:00 - 9:15
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | Begrüßung
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:15 - 10:15
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | Keynote -- ''Sebastian Klipper'' Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 10:15 - 11:00
| align="center" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" colspan="3" | ''Tom Brennan'' Current State of Application Security Adoption
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:00 - 11:30
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Kaffeepause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Der OWASP ASVS Standard, ''Matthias Rohr'' 
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques?, ''Martin Johns''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:00 - 12:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Developing Secure Applications with OWASP, ''Martin Knobloch''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Seitenkanalschwachstellen im Web erkennen und verhindern, ''Sebastian Schinzel''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:30 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Mittagspause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 14:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | OWASP Top 10, die Vierte: Was t/nun? '' Dr. Dirk Wetter''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Härtung von SAP HTTP- und Webservices, ''Frederik Weidemann''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:30 - 15:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes, ''Dr. Ingo Hanke'' und ''Daniel Bartschies''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | WATOBO - Web Application Toolbox, ''Andreas Schmidt'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:00 - 15:30
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Pause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:30 - 16:30
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud), ''Alexander Meisel''
 (Und Abschlussworte)

|}

 

== Details zu den Vorträgen ==

=== ''Keynote:'' Sebastian Klipper — Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 ===

Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8

Unterschiedliche Akteure in Unternehmen und Behörden erleben unterschiedliche Realitäten. Bei Sicherheitsmaßnahmen sind die Abweichungen zwischen Mitarbeitern, Chefs und Fachleuten besonders groß.

Fehlt die Kompetenz '''auf''' oder fehlt sie '''für''' OSI-Layer 8?

=== [http://www.owasp.org/index.php/User:Brennan Tom Brennan] — Current State of Application Security Adoption ===

(Englischer Vortrag): Web application security is critically important - today 75% of attacks are clearly targeting your web applications. In this rapidly evolving landscape professionals - developers, IT, management and information security - all have an important part in web application security.

Founded in 2001, Tom Brennan will provide a review, refresh and update about the OWASP Foundation including the who, what and how we can help.

 

=== Matthias Rohr — Der OWASP ASVS-Standard ===

In diesem Vortrag soll der OWASP ASVS-Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

 

=== Martin Johns — Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

*will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
*set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
*identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

 

=== Alexander Meisel — distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

 

=== Martin Knobloch — Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

 

=== Dr. Dirk Wetter — OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal. Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

 

=== Sebastian Schinzel — Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

 

=== Andreas Schmidt — WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde. Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten. Abgerundet wird die Präsentation durch eine kurze Demonstration.

 

=== Frederik Weidemann — Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

*wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
*welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

*Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
*Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
*Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
*Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
*Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

*Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
*Übersicht über SAPs Web Security Szenarios
*Risiken bei der Entwicklung von eigenen HTTP Handlern
*Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

 

=== Dr. Ingo Hanke and Daniel Bartschies — Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

 

====   Anmeldung ====

Die Anmeldung zur OWASP ist nun online.

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

*normaler Teilnehmer = 229,00 EUR
*Early Bird normaler Teilnehmer = 169,00 EUR (*)
*OWASP-Mitglied = 169,00 EUR
*Early Bird OWASP-Mitglied = 139,00 EUR (*)
*Studenten = 39 EUR (**)

(*) Early Bird Angebot gilt bis 20.09.2010. (**) Der gültige Studentenausweis ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite:

https://owasp.artofdefence.com

 

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz, die im Barfüßer in Nürnberg stattfindet (http://www.barfuesser-nuernberg.de/).

In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen.

 

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben. Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

Template:OWASP Germany 2010 Sponsors

2010-09-22T23:20:58Z

Ulrike Petersen:

{|
|-
|   
|     [http://www.artofdefence.com/ [[Image:Aod.png]]]
|     [http://www.securenet.de/ [[Image:SecureNet.png]]]
|     [http://www.lions-head.com/ [[Image:Lionshead.png|123x46px]]]
|     
|-
|     
|}

Template:OWASP Germany 2010 Sponsors

2010-09-22T23:17:27Z

Ulrike Petersen:

{|
|-
|   
|     [http://www.artofdefence.com/ [[Image:Aod.png]]]
|     [http://www.securenet.de/ [[Image:SecureNet.png]]]
|     [http://www.lions-head.com/startseite.html [[Image:Lionshead.png|123x46px]]]
|     
|-
|     
|}

File:Lionshead.png

2010-09-22T23:16:03Z

Ulrike Petersen:

Template:OWASP Germany 2010 Sponsors

2010-09-22T23:15:37Z

Ulrike Petersen:

Template:OWASP Germany 2010 Sponsors

2010-09-22T23:13:51Z

Ulrike Petersen:

{|
|-
|   
|     [http://www.artofdefence.com/ http://www.owasp.org/images/0/08/Aod.png]
|     [http://www.securenet.de/ http://www.owasp.org/images/2/25/SecureNet.png]
|     
|-
|     
|}

Template:OWASP Germany 2010 Sponsors

2010-09-22T23:10:51Z

Ulrike Petersen:

{|
|-
|   
|     [http://www.artofdefence.com/ [[Image:|Aod.png]]]
|     [http://www.securenet.de/ [[Image:|SecureNet.png]]]
|     [http://www.lions-head.com/startseite.html/ [[Image:|logo_lionshead_rgb_300]]]
|     
|-
|     
|}

OWASP AppSec Germany 2010 Conference

2010-09-22T22:57:34Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

[[Image:Appsec germany 2010.png|right|190x71px]] Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center> </center>
 

== Sponsoren ==

Wir danken unseren Sponsoren:

{{Template:OWASP_Germany_2010_Sponsors}}

 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agenda für die OWASP AppSec Germany 2010 steht fest!

== Agenda ==

{| border="0" align="center" style="width: 80%;" class="FCK__ShowTableBorders"
|-
| align="center" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" colspan="4" | '''20. Oktober 2010'''
 

|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 
| style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 - Raum 1
| style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2 - Raum 2
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:00 - 9:15
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | Begrüßung
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:15 - 10:15
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | Keynote -- ''Sebastian Klipper'' Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 10:15 - 11:00
| align="center" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" colspan="3" | ''Tom Brennan'' Current State of Application Security Adoption
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:00 - 11:30
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Kaffeepause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Der OWASP ASVS Standard, ''Matthias Rohr'' 
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques?, ''Martin Johns''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:00 - 12:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Developing Secure Applications with OWASP, ''Martin Knobloch''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Seitenkanalschwachstellen im Web erkennen und verhindern, ''Sebastian Schinzel''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:30 - 14:00
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Mittagspause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 14:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | OWASP Top 10, die Vierte: Was t/nun? '' Dr. Dirk Wetter''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Härtung von SAP HTTP- und Webservices, ''Frederik Weidemann''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:30 - 15:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes, ''Dr. Ingo Hanke'' und ''Daniel Bartschies''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | WATOBO - Web Application Toolbox, ''Andreas Schmidt'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:00 - 15:30
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Pause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:30 - 16:30
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud), ''Alexander Meisel''
 (Und Abschlussworte)

|}

 

== Details zu den Vorträgen ==

=== ''Keynote:'' Sebastian Klipper — Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 ===

Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8

Unterschiedliche Akteure in Unternehmen und Behörden erleben unterschiedliche Realitäten. Bei Sicherheitsmaßnahmen sind die Abweichungen zwischen Mitarbeitern, Chefs und Fachleuten besonders groß.

Fehlt die Kompetenz '''auf''' oder fehlt sie '''für''' OSI-Layer 8?

=== [http://www.owasp.org/index.php/User:Brennan Tom Brennan] — Current State of Application Security Adoption ===

(Englischer Vortrag): Web application security is critically important - today 75% of attacks are clearly targeting your web applications. In this rapidly evolving landscape professionals - developers, IT, management and information security - all have an important part in web application security.

Founded in 2001, Tom Brennan will provide a review, refresh and update about the OWASP Foundation including the who, what and how we can help.

 

=== Matthias Rohr — Der OWASP ASVS-Standard ===

In diesem Vortrag soll der OWASP ASVS-Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

 

=== Martin Johns — Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

*will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
*set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
*identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

 

=== Alexander Meisel — distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

 

=== Martin Knobloch — Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

 

=== Dr. Dirk Wetter — OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal. Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

 

=== Sebastian Schinzel — Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

 

=== Andreas Schmidt — WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde. Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten. Abgerundet wird die Präsentation durch eine kurze Demonstration.

 

=== Frederik Weidemann — Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

*wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
*welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

*Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
*Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
*Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
*Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
*Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

*Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
*Übersicht über SAPs Web Security Szenarios
*Risiken bei der Entwicklung von eigenen HTTP Handlern
*Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

 

=== Dr. Ingo Hanke and Daniel Bartschies — Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

 

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

Die Anmeldung zur OWASP ist nun online.

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

*normaler Teilnehmer = 229,00 EUR
*Early Bird normaler Teilnehmer = 169,00 EUR (*)
*OWASP-Mitglied = 169,00 EUR
*Early Bird OWASP-Mitglied = 139,00 EUR (*)
*Studenten = 39 EUR (**)

(*) Early Bird Angebot gilt bis 20.09.2010. (**) Der gültige Studentenausweis ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite:

https://owasp.artofdefence.com

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz, die im Barfüßer in Nürnberg stattfindet (http://www.barfuesser-nuernberg.de/).

In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen.

 

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben. Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-09-22T22:53:48Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

[[Image:Appsec germany 2010.png|right|190x71px]] Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center> </center>
 

== Sponsoren ==

Wir danken unseren Sponsoren:

{{Template:OWASP_Germany_2010_Sponsors}}

 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agenda für die OWASP AppSec Germany 2010 steht fest!

== Agenda ==

{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"
|-
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | '''20. Oktober 2010'''
 

|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 
| style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 - Raum 1
| style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2 - Raum 2
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:00 - 9:15
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | Begrüßung
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:15 - 10:15
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | Keynote -- ''Sebastian Klipper'' Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 10:15 - 11:00
| align="center" colspan="3" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" | ''Tom Brennan'' Current State of Application Security Adoption
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:00 - 11:30
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Der OWASP ASVS Standard, ''Matthias Rohr'' 
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques?, ''Martin Johns''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Developing Secure Applications with OWASP, ''Martin Knobloch''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Seitenkanalschwachstellen im Web erkennen und verhindern, ''Sebastian Schinzel''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:30 - 14:00
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 15:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | OWASP Top 10, die Vierte: Was t/nun? '' Dr. Dirk Wetter''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Härtung von SAP HTTP- und Webservices, ''Frederik Weidemann''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 15:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes, ''Dr. Ingo Hanke'' und ''Daniel Bartschies''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | WATOBO - Web Application Toolbox, ''Andreas Schmidt'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:00 - 15:30
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:30 - 16:30
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud), ''Alexander Meisel''
 (Und Abschlussworte)

|}

 

== Details zu den Vorträgen ==

=== ''Keynote:'' Sebastian Klipper — Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 ===

Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8

Unterschiedliche Akteure in Unternehmen und Behörden erleben unterschiedliche Realitäten. Bei Sicherheitsmaßnahmen sind die Abweichungen zwischen Mitarbeitern, Chefs und Fachleuten besonders groß.

Fehlt die Kompetenz '''auf''' oder fehlt sie '''für''' OSI-Layer 8?

=== [http://www.owasp.org/index.php/User:Brennan Tom Brennan] — Current State of Application Security Adoption ===

(Englischer Vortrag): Web application security is critically important - today 75% of attacks are clearly targeting your web applications. In this rapidly evolving landscape professionals - developers, IT, management and information security - all have an important part in web application security.

Founded in 2001, Tom Brennan will provide a review, refresh and update about the OWASP Foundation including the who, what and how we can help.

 

=== Matthias Rohr — Der OWASP ASVS-Standard ===

In diesem Vortrag soll der OWASP ASVS-Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

 

=== Martin Johns — Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

*will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
*set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
*identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

 

=== Alexander Meisel — distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

 

=== Martin Knobloch — Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

 

=== Dr. Dirk Wetter — OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal. Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

 

=== Sebastian Schinzel — Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

 

=== Andreas Schmidt — WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde. Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten. Abgerundet wird die Präsentation durch eine kurze Demonstration.

 

=== Frederik Weidemann — Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

*wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
*welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

*Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
*Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
*Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
*Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
*Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

*Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
*Übersicht über SAPs Web Security Szenarios
*Risiken bei der Entwicklung von eigenen HTTP Handlern
*Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

 

=== Dr. Ingo Hanke and Daniel Bartschies — Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

 

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

Die Anmeldung zur OWASP ist nun online.

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

*normaler Teilnehmer = 229,00 EUR
*Early Bird normaler Teilnehmer = 169,00 EUR (*)
*OWASP-Mitglied = 169,00 EUR
*Early Bird OWASP-Mitglied = 139,00 EUR (*)
*Studenten = 39 EUR (**)

(*) Early Bird Angebot gilt bis 20.09.2010. (**) Der gültige Studentenausweis ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite:

https://owasp.artofdefence.com

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz, die im Barfüßer in Nürnberg stattfindet (http://www.barfuesser-nuernberg.de/).

In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen.

 

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben. Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

Template:OWASP Germany 2010 Sponsors

2010-09-22T22:43:28Z

Ulrike Petersen: Created page with '{| |- |    |     [http://www.artofdefence.com/ http://www.owasp.org/images/0/08/Aod.png] |     [http://www.securenet.de/ http:…'

OWASP AppSec Germany 2010 Conference

2010-09-22T22:42:38Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

 Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Sponsoren ==

Wir danken unseren Sponsoren:

{{Template:OWASP_Germany_2010_Sponsors}}

 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agenda für die OWASP AppSec Germany 2010 steht fest!

== Agenda==

{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"
|-
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | '''20. Oktober 2010'''
 

|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 
| style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 - Raum 1
| style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2 - Raum 2
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:00 - 9:15
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | Begrüßung
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:15 - 10:15
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | Keynote -- ''Sebastian Klipper'' Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 10:15 - 11:00
| align="center" colspan="3" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" | ''Tom Brennan'' Current State of Application Security Adoption
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:00 - 11:30
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Der OWASP ASVS Standard, ''Matthias Rohr'' 
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques?, ''Martin Johns''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Developing Secure Applications with OWASP, ''Martin Knobloch''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Seitenkanalschwachstellen im Web erkennen und verhindern, ''Sebastian Schinzel''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:30 - 14:00
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 15:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | OWASP Top 10, die Vierte: Was t/nun? '' Dr. Dirk Wetter''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Härtung von SAP HTTP- und Webservices, ''Frederik Weidemann
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 15:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes, ''Dr. Ingo Hanke'' und ''Daniel Bartschies''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | WATOBO - Web Application Toolbox, ''Andreas Schmidt'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:00 - 15:30
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:30 - 16:30
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242,242,242);" | distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud), ''Alexander Meisel''
 
(Und Abschlussworte)
|}

 

== Details zu den Vorträgen ==

=== ''Keynote:'' Sebastian Klipper — Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 ===

Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8

Unterschiedliche Akteure in Unternehmen und Behörden erleben unterschiedliche Realitäten. Bei Sicherheitsmaßnahmen sind die Abweichungen zwischen Mitarbeitern, Chefs und Fachleuten besonders groß.

Fehlt die Kompetenz '''auf''' oder fehlt sie '''für''' OSI-Layer 8?

=== [http://www.owasp.org/index.php/User:Brennan Tom Brennan] — Current State of Application Security Adoption ===

(Englischer Vortrag): Web application security is critically important - today 75% of attacks
are clearly targeting your web applications. In this rapidly evolving
landscape professionals - developers, IT, management and information
security - all have an important part in web application security.

Founded in 2001, Tom Brennan will provide a review, refresh and update
about the OWASP Foundation including the who, what and how we can help.

=== Matthias Rohr — Der OWASP ASVS-Standard ===

In diesem Vortrag soll der OWASP ASVS-Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

=== Martin Johns — Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

* will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
* set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
* identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

=== Alexander Meisel — distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

=== Martin Knobloch — Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP
During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

=== Dr. Dirk Wetter — OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal.
Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

=== Sebastian Schinzel — Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

=== Andreas Schmidt — WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde.
Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten.
Abgerundet wird die Präsentation durch eine kurze Demonstration.

=== Frederik Weidemann — Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

* wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
* welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

* Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
* Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
* Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
* Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
* Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

* Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
* Übersicht über SAPs Web Security Szenarios
* Risiken bei der Entwicklung von eigenen HTTP Handlern
* Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

=== Dr. Ingo Hanke and Daniel Bartschies — Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

Die Anmeldung zur OWASP ist nun online.

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

* normaler Teilnehmer = 229,00 EUR
* Early Bird normaler Teilnehmer = 169,00 EUR (*)
* OWASP-Mitglied = 169,00 EUR
* Early Bird OWASP-Mitglied = 139,00 EUR (*)
* Studenten = 39 EUR (**)

(*) Early Bird Angebot gilt bis 20.09.2010.
(**) Der gültige Studentenausweis ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite:

https://owasp.artofdefence.com

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz, die im Barfüßer in Nürnberg stattfindet (http://www.barfuesser-nuernberg.de/).

In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen:
Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben.
Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand
von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände
möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls
der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-09-22T22:42:10Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

 Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Sponsoren ==

Wir danken unseren Sponsoren:

{{Template:OWASP_Germany_2009_Sponsors}}

 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agenda für die OWASP AppSec Germany 2010 steht fest!

== Agenda==

{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"
|-
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | '''20. Oktober 2010'''
 

|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 
| style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 - Raum 1
| style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2 - Raum 2
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:00 - 9:15
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | Begrüßung
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:15 - 10:15
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | Keynote -- ''Sebastian Klipper'' Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 10:15 - 11:00
| align="center" colspan="3" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" | ''Tom Brennan'' Current State of Application Security Adoption
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:00 - 11:30
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Der OWASP ASVS Standard, ''Matthias Rohr'' 
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques?, ''Martin Johns''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Developing Secure Applications with OWASP, ''Martin Knobloch''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Seitenkanalschwachstellen im Web erkennen und verhindern, ''Sebastian Schinzel''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:30 - 14:00
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 15:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | OWASP Top 10, die Vierte: Was t/nun? '' Dr. Dirk Wetter''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Härtung von SAP HTTP- und Webservices, ''Frederik Weidemann
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 15:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes, ''Dr. Ingo Hanke'' und ''Daniel Bartschies''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | WATOBO - Web Application Toolbox, ''Andreas Schmidt'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:00 - 15:30
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:30 - 16:30
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242,242,242);" | distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud), ''Alexander Meisel''
 
(Und Abschlussworte)
|}

 

== Details zu den Vorträgen ==

=== ''Keynote:'' Sebastian Klipper — Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 ===

Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8

Unterschiedliche Akteure in Unternehmen und Behörden erleben unterschiedliche Realitäten. Bei Sicherheitsmaßnahmen sind die Abweichungen zwischen Mitarbeitern, Chefs und Fachleuten besonders groß.

Fehlt die Kompetenz '''auf''' oder fehlt sie '''für''' OSI-Layer 8?

=== [http://www.owasp.org/index.php/User:Brennan Tom Brennan] — Current State of Application Security Adoption ===

(Englischer Vortrag): Web application security is critically important - today 75% of attacks
are clearly targeting your web applications. In this rapidly evolving
landscape professionals - developers, IT, management and information
security - all have an important part in web application security.

Founded in 2001, Tom Brennan will provide a review, refresh and update
about the OWASP Foundation including the who, what and how we can help.

=== Matthias Rohr — Der OWASP ASVS-Standard ===

In diesem Vortrag soll der OWASP ASVS-Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

=== Martin Johns — Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

* will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
* set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
* identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

=== Alexander Meisel — distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

=== Martin Knobloch — Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP
During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

=== Dr. Dirk Wetter — OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal.
Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

=== Sebastian Schinzel — Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

=== Andreas Schmidt — WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde.
Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten.
Abgerundet wird die Präsentation durch eine kurze Demonstration.

=== Frederik Weidemann — Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

* wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
* welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

* Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
* Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
* Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
* Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
* Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

* Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
* Übersicht über SAPs Web Security Szenarios
* Risiken bei der Entwicklung von eigenen HTTP Handlern
* Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

=== Dr. Ingo Hanke and Daniel Bartschies — Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

Die Anmeldung zur OWASP ist nun online.

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

* normaler Teilnehmer = 229,00 EUR
* Early Bird normaler Teilnehmer = 169,00 EUR (*)
* OWASP-Mitglied = 169,00 EUR
* Early Bird OWASP-Mitglied = 139,00 EUR (*)
* Studenten = 39 EUR (**)

(*) Early Bird Angebot gilt bis 20.09.2010.
(**) Der gültige Studentenausweis ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite:

https://owasp.artofdefence.com

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz, die im Barfüßer in Nürnberg stattfindet (http://www.barfuesser-nuernberg.de/).

In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen:
Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben.
Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand
von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände
möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls
der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-09-22T22:28:39Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

 Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agenda für die OWASP AppSec Germany 2010 steht fest!

== Agenda==

{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"
|-
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | '''20. Oktober 2010'''
 

|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 
| style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 - Raum 1
| style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2 - Raum 2
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:00 - 9:15
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | Begrüßung
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:15 - 10:15
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | Keynote -- ''Sebastian Klipper'' Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 10:15 - 11:00
| align="center" colspan="3" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" | ''Tom Brennan'' Current State of Application Security Adoption
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:00 - 11:30
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Der OWASP ASVS Standard, ''Matthias Rohr'' 
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques?, ''Martin Johns''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Developing Secure Applications with OWASP, ''Martin Knobloch''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Seitenkanalschwachstellen im Web erkennen und verhindern, ''Sebastian Schinzel''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:30 - 14:00
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 15:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | OWASP Top 10, die Vierte: Was t/nun? '' Dr. Dirk Wetter''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Härtung von SAP HTTP- und Webservices, ''Frederik Weidemann
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 15:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes, ''Dr. Ingo Hanke'' und ''Daniel Bartschies''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | WATOBO - Web Application Toolbox, ''Andreas Schmidt'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:00 - 15:30
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:30 - 16:30
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242,242,242);" | distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud), ''Alexander Meisel''
 
(Und Abschlussworte)
|}

 

== Details zu den Vorträgen ==

=== ''Keynote:'' Sebastian Klipper — Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 ===

Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8

Unterschiedliche Akteure in Unternehmen und Behörden erleben unterschiedliche Realitäten. Bei Sicherheitsmaßnahmen sind die Abweichungen zwischen Mitarbeitern, Chefs und Fachleuten besonders groß.

Fehlt die Kompetenz '''auf''' oder fehlt sie '''für''' OSI-Layer 8?

=== [http://www.owasp.org/index.php/User:Brennan Tom Brennan] — Current State of Application Security Adoption ===

(Englischer Vortrag): Web application security is critically important - today 75% of attacks
are clearly targeting your web applications. In this rapidly evolving
landscape professionals - developers, IT, management and information
security - all have an important part in web application security.

Founded in 2001, Tom Brennan will provide a review, refresh and update
about the OWASP Foundation including the who, what and how we can help.

=== Matthias Rohr — Der OWASP ASVS-Standard ===

In diesem Vortrag soll der OWASP ASVS-Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

=== Martin Johns — Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

* will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
* set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
* identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

=== Alexander Meisel — distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

=== Martin Knobloch — Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP
During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

=== Dr. Dirk Wetter — OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal.
Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

=== Sebastian Schinzel — Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

=== Andreas Schmidt — WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde.
Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten.
Abgerundet wird die Präsentation durch eine kurze Demonstration.

=== Frederik Weidemann — Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

* wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
* welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

* Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
* Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
* Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
* Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
* Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

* Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
* Übersicht über SAPs Web Security Szenarios
* Risiken bei der Entwicklung von eigenen HTTP Handlern
* Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

=== Dr. Ingo Hanke and Daniel Bartschies — Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

Die Anmeldung zur OWASP ist nun online.

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

* normaler Teilnehmer = 229,00 EUR
* Early Bird normaler Teilnehmer = 169,00 EUR (*)
* OWASP-Mitglied = 169,00 EUR
* Early Bird OWASP-Mitglied = 139,00 EUR (*)
* Studenten = 39 EUR (**)

(*) Early Bird Angebot gilt bis 20.09.2010.
(**) Der gültige Studentenausweis ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite:

https://owasp.artofdefence.com

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz, die im Barfüßer in Nürnberg stattfindet (http://www.barfuesser-nuernberg.de/).

In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen:
Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben.
Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand
von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände
möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls
der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-09-09T00:27:23Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

 Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agende für die OWASP AppSec 2010 steht fest!

== Agenda==

{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"
|-
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | '''20. Oktober 2010'''
 

|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 
| style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 - Raum 1
| style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2 - Raum 2
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:15 - 10:15
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | Begrüßung
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:15 - 10:15
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | Keynote - Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 ''Sebastian Klipper''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 10:15 - 11:00
| align="center" colspan="3" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" | Tom Brennan
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:00 - 11:30
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Der OWASP ASVS Standard, ''Matthias Rohr'' 
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques?, ''Martin Johns''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Developing Secure Applications with OWASP, ''Martin Knobloch''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Seitenkanalschwachstellen im Web erkennen und verhindern, ''Sebastian Schinzel''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:30 - 14:00
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 15:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | OWASP Top 10, die Vierte: Was t/nun? '' Dr. Dirk Wetter''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Härtung von SAP HTTP- und Webservices, ''Frederik Weidemann
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 15:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes, ''Dr. Ingo Hanke'' und ''Daniel Bartschies''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | WATABO - Web Application Toolbox, ''Andreas Schmidt'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:00 - 15:30
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:30 - 16:30
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242,242,242);" | distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud), ''Alexander Meisel''
 
(Und Abschlussworte)
|}

 

== Details zu den Vorträgen ==

=== Sebastian Klipper. Keynode===

Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8

Unterschiedliche Akteure in Unternehmen und Behörden erleben unterschiedliche Realitäten. Bei Sicherheitsmaßnahmen sind die Abweichungen zwischen Mitarbeitern, Chefs und Fachleuten
besonders groß.

Fehlt die Kompetenz >auf< oder fehlt sie >für< OSI-Layer 8?

=== Matthias Rohr. Der OWASP ASVS Standard ===

In diesem Vortrag soll der OWASP ASVS Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

=== Martin Johns. Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

* will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
* set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
* identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

=== Alexander Meisel. distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

=== Martin Knobloch. Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP
During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

=== Dirk Dr. Wetter. OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal.
Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

=== Sebastian Schinzel. Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

=== Andreas Schmidt. WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde.
Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten.
Abgerundet wird die Präsentation durch eine kurze Demonstration.

=== Frederik Weidemann. Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

* wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
* welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

* Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
* Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
* Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
* Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
* Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

* Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
* Übersicht über SAPs Web Security Szenarios
* Risiken bei der Entwicklung von eigenen HTTP Handlern
* Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

=== Dr. Ingo Hanke and Daniel Bartschies. Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

Die Anmeldung zur OWASP ist nun online.

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

* normaler Teilnehmer = 229,00 EUR
* Early Bird normaler Teilnehmer = 169,00 EUR (*)
* OWASP-Mitglied = 169,00 EUR
* Early Bird OWASP-Mitglied = 139,00 EUR (*)
* Studenten = 39 EUR (**)

(*) Early Bird Angebot gilt bis 20.09.2010.
(**) Der gültige Studentenausweis ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite:

https://owasp.artofdefence.com

Achtung: Es handelt sich um eine Seite, die extern gehostet wird, daher ist es möglich, dass eine SSl-Zertifikatswarnung erscheint.

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz, die im Barfüßer in Nürnberg stattfindet (http://www.barfuesser-nuernberg.de/).

In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen:
Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben.
Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand
von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände
möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls
der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-09-03T17:37:43Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

''' The CfP is now closed '''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

'''News'''

'''Auf mehrfache Anfrage wurde der CfP bis zum 15.August 2010 verlängert!!!'''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

 Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agende für die OWASP AppSec 2010 steht fest!

== Agenda mit Zeitleiste ==

Die genaue Zeitleiste wird in kürze hier dargestellt.

== Details zu den Vorträgen ==

=== Matthias Rohr. Der OWASP ASVS Standard ===

In diesem Vortrag soll der OWASP ASVS Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

=== Martin Johns. Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

* will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
* set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
* identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

=== Alexander Meisel. distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

=== Martin Knobloch. Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP
During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

=== Dirk Dr. Wetter. OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal.
Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

=== Sebastian Schinzel. Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

=== Andreas Schmidt. WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde.
Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten.
Abgerundet wird die Präsentation durch eine kurze Demonstration.

=== Frederik Weidemann. Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

* wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
* welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

* Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
* Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
* Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
* Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
* Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

* Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
* Übersicht über SAPs Web Security Szenarios
* Risiken bei der Entwicklung von eigenen HTTP Handlern
* Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

=== Dr. Ingo Hanke and Daniel Bartschies. Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

Die Anmeldung zur OWASP ist nun online.

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

* normaler Teilnehmer = 229,00 EUR
* Early Bird normaler Teilnehmer = 169,00 EUR (*)
* OWASP-Mitglied = 169,00 EUR
* Early Bird OWASP-Mitglied = 139,00 EUR (*)
* Studenten = 39 EUR (**)

(*) Early Bird Angebot gilt bis 20.09.2010.
(**) Der gültige Studentenausweis ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite:

https://owasp.artofdefence.com

Achtung: Es handelt sich um eine Seite, die extern gehostet wird, daher ist es möglich, dass eine SSl-Zertifikatswarnung erscheint.

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz, die im Barfüßer in Nürnberg stattfindet (http://www.barfuesser-nuernberg.de/).

In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen:
Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben.
Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand
von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände
möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls
der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-09-03T17:24:41Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

''' Registration is now open '''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

''' The CfP is now closed '''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

'''News'''

'''Auf mehrfache Anfrage wurde der CfP bis zum 15.August 2010 verlängert!!!'''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

 Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agende für die OWASP AppSec 2010 steht fest!

== Agenda mit Zeitleiste ==

Die genaue Zeitleiste wird in kürze hier dargestellt.

== Details zu den Vorträgen ==

=== Matthias Rohr. Der OWASP ASVS Standard ===

In diesem Vortrag soll der OWASP ASVS Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

=== Martin Johns. Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

* will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
* set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
* identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

=== Alexander Meisel. distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

=== Martin Knobloch. Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP
During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

=== Dirk Dr. Wetter. OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal.
Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

=== Sebastian Schinzel. Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

=== Andreas Schmidt. WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde.
Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten.
Abgerundet wird die Präsentation durch eine kurze Demonstration.

=== Frederik Weidemann. Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

* wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
* welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

* Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
* Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
* Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
* Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
* Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

* Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
* Übersicht über SAPs Web Security Szenarios
* Risiken bei der Entwicklung von eigenen HTTP Handlern
* Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

=== Dr. Ingo Hanke and Daniel Bartschies. Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

Die Anmeldung zur OWASP ist nun online.

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

* normaler Teilnehmer = 229,00 EUR
* Early Bird normaler Teilnehmer = 169,00 EUR (*)
* OWASP-Mitglied = 169,00 EUR
* Early Bird OWASP-Mitglied = 139,00 EUR (*)
* Studenten = 39 EUR (**)

(*) Early Bird Angebot gilt bis 20.09.2010.
(**) Der gültige Studentenausweis ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite:

https://owasp.artofdefence.com

Achtung: Es handelt sich um eine Seite, die extern gehostet wird, daher ist es möglich, dass eine SSl-Zertifikatswarnung erscheint.

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz, die im Barfüßer in Nürnberg stattfindet (http://www.barfuesser-nuernberg.de/).

In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen:
Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben.
Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand
von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände
möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls
der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-09-03T17:23:49Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

''' The CfP is now closed '''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

'''News'''

'''Auf mehrfache Anfrage wurde der CfP bis zum 15.August 2010 verlängert!!!'''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

 Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agende für die OWASP AppSec 2010 steht fest!

== Agenda mit Zeitleiste ==

Die genaue Zeitleiste wird in kürze hier dargestellt.

== Details zu den Vorträgen ==

=== Matthias Rohr. Der OWASP ASVS Standard ===

In diesem Vortrag soll der OWASP ASVS Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

=== Martin Johns. Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

* will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
* set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
* identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

=== Alexander Meisel. distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

=== Martin Knobloch. Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP
During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

=== Dirk Dr. Wetter. OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal.
Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

=== Sebastian Schinzel. Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

=== Andreas Schmidt. WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde.
Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten.
Abgerundet wird die Präsentation durch eine kurze Demonstration.

=== Frederik Weidemann. Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

* wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
* welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

* Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
* Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
* Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
* Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
* Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

* Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
* Übersicht über SAPs Web Security Szenarios
* Risiken bei der Entwicklung von eigenen HTTP Handlern
* Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

=== Dr. Ingo Hanke and Daniel Bartschies. Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

Die Anmeldung zur OWASP ist nun online.

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

* normaler Teilnehmer = 229,00 EUR
* Early Bird normaler Teilnehmer = 169,00 EUR (*)
* OWASP-Mitglied = 169,00 EUR
* Early Bird OWASP-Mitglied = 139,00 EUR (*)
* Studenten = 39 EUR (**)

(*) Early Bird Angebot gilt bis 20.09.2010.
(**) Der gültige Studentenausweis ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite:

https://owasp.artofdefence.com

Achtung: Es handelt sich um eine Seite, die extern gehostet wird, daher ist es möglich, dass eine SSl-Zertifikatswarnung erscheint.

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz, die im Barfüßer in Nürnberg stattfindet (http://www.barfuesser-nuernberg.de/).

In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen:
Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben.
Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand
von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände
möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls
der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-09-03T17:23:21Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

''' The CfP is now closed '''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

'''News'''

'''Auf mehrfache Anfrage wurde der CfP bis zum 15.August 2010 verlängert!!!'''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

 Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agende für die OWASP AppSec 2010 steht fest!

== Agenda mit Zeitleiste ==

Die genaue Zeitleiste wird in kürze hier dargestellt.

== Details zu den Vorträgen ==

=== Matthias Rohr. Der OWASP ASVS Standard ===

In diesem Vortrag soll der OWASP ASVS Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

=== Martin Johns. Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

* will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
* set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
* identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

=== Alexander Meisel. distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

=== Martin Knobloch. Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP
During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

=== Dirk Dr. Wetter. OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal.
Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

=== Sebastian Schinzel. Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

=== Andreas Schmidt. WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde.
Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten.
Abgerundet wird die Präsentation durch eine kurze Demonstration.

=== Frederik Weidemann. Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

* wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
* welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

* Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
* Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
* Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
* Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
* Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

* Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
* Übersicht über SAPs Web Security Szenarios
* Risiken bei der Entwicklung von eigenen HTTP Handlern
* Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

=== Dr. Ingo Hanke and Daniel Bartschies. Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

Die Anmeldung zur OWASP ist nun online.

== Preise ==

Für die OWASP AppSec 2010 gelten die folgenden Preise:

* normaler Teilnehmer = 229,00 EUR
* Early Bird normaler Teilnehmer = 169,00 EUR (*)
* OWASP-Mitglied = 169,00 EUR
* Early Bird OWASP-Mitglied = 139,00 EUR (*)
* Studenten = 39 EUR (**)

(*) Early Bird Angebot gilt bis 20.09.2010.
(**) Der gültige Studentenausweis ist bei der Registrierung vor Ort vorzulegen.

== Anmeldeseite ==

Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite:

https://owasp.artofdefence.com

Achtung: Es handelt sich um eine Seite, die extern gehostet wird, daher ist es möglich, dass eine SSl-Zertifikatswarnung erscheint.

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz, die im Barfüßer in Nürnberg stattfindet (http://www.barfuesser-nuernberg.de/).

In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen:
Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben.
Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand
von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände
möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls
der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-09-03T15:45:40Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

''' The CfP is now closed '''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

'''News'''

'''Auf mehrfache Anfrage wurde der CfP bis zum 15.August 2010 verlängert!!!'''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

 Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agende für die OWASP AppSec 2010 steht fest!

== Agenda mit Zeitleiste ==

Die genaue Zeitleiste wird in kürze hier dargestellt.

== Details zu den Vorträgen ==

=== Matthias Rohr. Der OWASP ASVS Standard ===

In diesem Vortrag soll der OWASP ASVS Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

=== Martin Johns. Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

* will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
* set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
* identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

=== Alexander Meisel. distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

=== Martin Knobloch. Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP
During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

=== Dirk Dr. Wetter. OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal.
Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

=== Sebastian Schinzel. Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

=== Andreas Schmidt. WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde.
Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten.
Abgerundet wird die Präsentation durch eine kurze Demonstration.

=== Frederik Weidemann. Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

* wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
* welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

* Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
* Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
* Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
* Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
* Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

* Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
* Übersicht über SAPs Web Security Szenarios
* Risiken bei der Entwicklung von eigenen HTTP Handlern
* Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

=== Dr. Ingo Hanke and Daniel Bartschies. Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

coming soon ...

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz, die im Barfüßer in Nürnberg stattfindet (http://www.barfuesser-nuernberg.de/).

In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen:
Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben.
Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand
von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände
möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls
der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-09-03T15:04:43Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

''' The CfP is now closed '''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

'''News'''

'''Auf mehrfache Anfrage wurde der CfP bis zum 15.August 2010 verlängert!!!'''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

 Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Hemkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

Die vorläufige Agende für die OWASP AppSec 2010 steht fest!

== Agenda mit Zeitleiste ==

Die genaue Zeitleiste wird in kürze hier dargestellt.

== Details zu den Vorträgen ==

=== Matthias Rohr. Der OWASP ASVS Standard ===

In diesem Vortrag soll der OWASP ASVS Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

=== Martin Johns. Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===

Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:

* will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
* set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
* identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

=== Alexander Meisel. distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===

Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

=== Martin Knobloch. Developing Secure Applications with OWASP ===

After an introduction about OWASP, Martin will higlight the top projects of OWASP
During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

=== Dirk Dr. Wetter. OWASP Top 10, die Vierte: Was t/nun? ===

Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal.
Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

=== Sebastian Schinzel. Seitenkanalschwachstellen im Web erkennen und verhindern ===

Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

=== Andreas Schmidt. WATOBO - Web Application Toolbox ===

Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde.
Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten.
Abgerundet wird die Präsentation durch eine kurze Demonstration.

=== Frederik Weidemann. Härtung von SAP HTTP- und Web Services ===

Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt

* wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
* welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:

* Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
* Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
* Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
* Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
* Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.

* Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
* Übersicht über SAPs Web Security Szenarios
* Risiken bei der Entwicklung von eigenen HTTP Handlern
* Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

=== Dr. Ingo Hanke and Daniel Bartschies. Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===

Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

coming soon ...

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre wird es eine Vorabendveranstaltung zur Konferenz geben. Details werden hier bekanntgegeben. Die Vorabendveranstaltung wird am 19.10.2010 in Nürnberg stattfinden.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen:
Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben.
Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand
von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände
möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls
der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-08-07T10:31:54Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

'''News'''

'''Auf mehrfache Anfrage wurde der CfP bis zum 15.August 2010 verlängert!!!'''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

 Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Henkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

coming soon ...

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

coming soon ...

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre wird es eine Vorabendveranstaltung zur Konferenz geben. Details werden hier bekanntgegeben. Die Vorabendveranstaltung wird am 19.10.2010 in Nürnberg stattfinden.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in dern vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen:
Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben.
Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand
von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände
möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls
der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-08-07T10:26:44Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

'''News'''

'''Auf mehrfache Anfrage wurde der CfP bis zum 15.August 2010 verlängert!!!'''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

 Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Henkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

coming soon ...

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

coming soon ...

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre wird es eine Vorabendveranstaltung zur Konferenz geben. Details werden hier bekanntgegeben. Die Vorabendveranstaltung wird am 19.10.2010 in Nürnberg stattfinden.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in dern vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen:
Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben.
Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand
von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände
möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls
der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: [[File:OWASP_D_2010_SponsorenInfo.pdf]]

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

File:OWASP D 2010 SponsorenInfo.pdf

2010-08-07T10:25:12Z

Ulrike Petersen:

OWASP AppSec Germany 2010 Conference

2010-08-07T10:24:01Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

'''News'''

'''Auf mehrfache Anfrage wurde der CfP bis zum 15.August 2010 verlängert!!!'''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

 Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Henkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

coming soon ...

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

coming soon ...

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre wird es eine Vorabendveranstaltung zur Konferenz geben. Details werden hier bekanntgegeben. Die Vorabendveranstaltung wird am 19.10.2010 in Nürnberg stattfinden.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in dern vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen:
Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben.
Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand
von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände
möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls
der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: [[File:OWASP_D_2010_SponsorenInfo]]

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-08-07T10:23:33Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

'''News'''

'''Auf mehrfache Anfrage wurde der CfP bis zum 15.August 2010 verlängert!!!'''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

 Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Henkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

coming soon ...

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

coming soon ...

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre wird es eine Vorabendveranstaltung zur Konferenz geben. Details werden hier bekanntgegeben. Die Vorabendveranstaltung wird am 19.10.2010 in Nürnberg stattfinden.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in dern vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen:
Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben.
Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand
von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände
möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls
der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier [[File:OWASP_D_2010_SponsorenInfo]]

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-08-03T21:15:51Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

'''News'''

'''Auf mehrfache Anfrage wurde der CfP bis zum 15.August 2010 verlängert!!!'''

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

 Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Henkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

coming soon ...

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

coming soon ...

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre wird es eine Vorabendveranstaltung zur Konferenz geben. Details werden hier bekanntgegeben. Die Vorabendveranstaltung wird am 19.10.2010 in Nürnberg stattfinden.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in dern vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-08-03T21:14:59Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

'''News'''

'''Auf mehrfache Anfrage wurde der CfP bis zum 15.August 2010 verlängert!!!

'''++++++++++++++++++++++++++++++++++++++++++++++++'''

Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Henkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

coming soon ...

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis 01.08.2010 Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 01 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

coming soon ...

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre wird es eine Vorabendveranstaltung zur Konferenz geben. Details werden hier bekanntgegeben. Die Vorabendveranstaltung wird am 19.10.2010 in Nürnberg stattfinden.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in dern vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-08-03T21:13:03Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

'''++++++++++++++++++++++++++++++++++++++++++++++++

News: Auf mehrfache Anfrage wurde der CfP bis zum 15.August 2010 verlängert!!!

++++++++++++++++++++++++++++++++++++++++++++++++'''

Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Henkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

coming soon ...

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis 01.08.2010 Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 01 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

coming soon ...

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre wird es eine Vorabendveranstaltung zur Konferenz geben. Details werden hier bekanntgegeben. Die Vorabendveranstaltung wird am 19.10.2010 in Nürnberg stattfinden.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in dern vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

OWASP AppSec Germany 2010 Conference

2010-08-03T21:12:10Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

'''++++++++++++++++++++++++'''
News: Auf mehrfache Anfrage wurde der CfP bis zum 15.August 2010 verlängert!!!
++++++++++++++++++++++++'''

Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Henkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

coming soon ...

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis 01.08.2010 Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 01 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: October 20, 2010. Evening program on the 19th of October, 2010

====   Registration ====

coming soon ...

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre wird es eine Vorabendveranstaltung zur Konferenz geben. Details werden hier bekanntgegeben. Die Vorabendveranstaltung wird am 19.10.2010 in Nürnberg stattfinden.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in dern vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

Germany

2010-07-02T13:48:44Z

Ulrike Petersen:

{{Chapter Template|chaptername=Germany|extra=The chapter leader is [mailto:Georg.Hess@artofdefence.com Georg Heß]. Chapter Board members are: Tobias Glemser, [mailto:boris@owasp.org Boris Hemkemeier], Achim Hoffmann, [mailto:ulrike.petersen@owasp.org Uli Petersen], Bruce Sams. |mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-germany|emailarchives=http://lists.owasp.org/pipermail/owasp-germany}}

== Donate ==
<paypal>Germany</paypal>

== '''Ankündigung:''' OWASP AppSec Germany 2010 Conference 20.10.10 in Nürnberg ==

[[OWASP_AppSec_Germany_2010_Conference|OWASP AppSec Germany 2010 Conference]]

== Kurzprotokoll zum OWASP German Chapter Meeting am 20.05.2010 in München ==

14:00 Allgemeine Begrüßungs- und Vorstellungsrunde

=== 14:15 Bruce Sams: „Strategie und Kosten für ein SDLC“ ===

14:50 Diskussion

=== 15:10 Boris Hemkemeier: „Two Factors Are Not Enough“ ===

16:05 Diskussion (geht nahtlos über in die)

16:15 Kaffeepause

=== 16:35 Vortrag mit Diskussion „Organisatorisches im Chapter“ ===
Die Wesentlichen Punkte, die umgesetzt oder verbessert werden sollen:
* Mehr Außenwirkung durch Public Relations, bessere Pressearbeit / Pressemitteilungen und Einführung und Pflege einer Sprecher- und Rednerliste (um z.B. bei öffentlichen Veranstaltungen OWASP adäquat vorstellen zu können)
* Gepflegtes Wiki sowohl für Außendarstellung als auch als Plattform für die interne Kommunikation
* Einführung von direkten Ansprechpartner für diverse Branchen

Es folgt eine kurze Diskussion, wie dies effektiv umgesetzt werden kann. Es wird ein Vorschlag durch konkludentes Handeln angenommen: Es soll ein Chapter Board bestehend aus 5 Mitgliedern gewählt werden. Jedes dieser Mitglieder bekommt eine oder mehrere dedizierte Aufgabe(n), um die oben genannten Punkte abzudecken und umzusetzen. Es folgt ein Aufruf, sich für eine entsprechende Wahl zur Verfügung zu stellen. Es soll ebenso der neue Chapter Leader gewählt werden. Da sich nur ein Kandidat für nur einen Posten zur Wahl für die nächsten zwei Jahre zur Verfügung stellt, wird folgendes entschieden: Bei Abstimmungen hat jedes Mitglied des Boards genau eine Stimme, während der Chapter Leader zwei Stimmen hat. So soll zukünftig bei Abstimmungen eine Stimmengleichheit verhindert werden.

=== 17:15 Beginn der Beschlussfassungen und Wahlen ===
==== Beschluss zur Anzahl der Chapter Leaders ====
Es wird von den 12 Teilnehmern des Chapter Meetings einstimmig beschlossen, das zukünftig das Chapter Germany (analog zu den meisten anderen OWASP Chapters) nur noch einen Chapter Leader hat.

====Wahl des Chapter Leaders====
Georg Heß kandidiert als Chapter Leader und wird mit 11 von 12 Stimmen bei einer Enthaltung zum neuen Chapter Leader des OWASP Chapters Germany gewählt.

====Beschluss zur zukünftigen Zusammensetzung des Boards====
Einstimmig wird beschlossen, dass das zukünftige Board aus 5 Mitgliedern besteht. Diese sollen die Aufgaben wie in der Diskussion beschrieben wahr nehmen.

====Wahl des Boards====
Es kandidieren Tobias Glemser, Boris Hemkemeier, Achim Hoffmann, Uli Petersen und Bruce Sams für die 5 Sitze im Board. Alle werden einstimmig gewählt.
Bitte outet Euch selbst, welchen Bereich Ihr abdecken werdet ;-)

Alle Gewählten nehmen die Wahl an.

===17:25 Vortrag mit Diskussion „OWASP Germany Conferenc 2010“===
Es folgt ein kurzer historischer Rückblick der Veranstaltungsorte: 2008 im Hotel in Frankfurt, 2009 auf der Messe it-sa in Nürnberg. Kurze Diskussion pro und contra Hotel vs. Messe vs. Hochschul-Location.

====Beschlussfassung====
* Es soll geprüft werden, ob die diesjährige „OWASP Germany Conference 2010“ wieder in Kooperation mit der Messe Nürnberg / it-sa durchgeführt werden kann (z.B. am 20.10.2010).
* Weiterhin ist ein Konferenztag mit zwei verschiedenen Tracks (Technik und Management) angedacht.
* Um die inhaltliche Gestaltung voranzutreiben wird ein Programm-Komitee (initial bestehend aus Bruce Sams, Kai Jendrian, Boris Hemkemeier und Martin Johns) ins Leben gerufen, das alsbald den CFP starten soll.

Gegen 18:15 löst sich das OWASP German Chapter Meeting auf und geht nahtlos in den 12. „Happy Anniversary!“ OWASP Stammtisch München über.

== OWASP Stammtisch-Initiative ("regular's table initiative") ==
A "regular's table" (Stammtisch) is a German tradition for meeting each other in a beer garden or a pub in order to discuss certain topics (and to drink beer, of course ;-). 

In the case of an [http://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative OWASP-Stammtisch] it's all about Web Application Security. Right now a Stammtisch is established in [http://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative#tab=M.C3.BCnchen Munich], [http://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative#tab=K.C3.B6ln Cologne], [http://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative#tab=Frankfurt Frankfurt], [http://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative#tab=Stuttgart Stuttgart] 

== Past Events ==

=== OWASP German Chapter Meeting May 20th 2010 in Munich (Announcement in German) ===
Das Chapter Meeting findet am Ort des Münchener Stammtisches statt:

[http://maps.google.de/maps?f=q&source=s_q&hl=de&geocode=&q=l%C3%B6we+und+raute,+Nymphenburger+Str.+64,+M%C3%BCnchen&sll=48.149721,11.548637&sspn=0.003239,0.009291&ie=UTF8&hq=l%C3%B6we+und+raute,&hnear=Nymphenburger+Stra%C3%9Fe+64,+M%C3%BCnchen&ll=48.150082,11.548766&spn=0.006256,0.018582&z=17 Gasthaus Löwe und Raute]
Nymphenburger Str. 64
80335 München
Tel. 089 / 130 143 97

Dieser Ort weist einige Besonderheiten bzgl. Anreise (schlechte
Parkplatzsituation) auf.

==== AGENDA ====

Inoffizieller Start: Mittagessen ab ca. 12:30 Uhr

Offiziell:

14:00 - 14:15 : Begrüssung, Vorstellungsrunde

14:15 - 15:00 : Bruce Sams:
Strategie und Kosten für ein SDLC:
Konkrete Zahlen nach BSI-MM und Open SAMM

15:00 - 15:45 : Boris Hemkemeier:
Two Factors Are Not Enough

15:45 - 16:15: Kaffeepause

16:15 - 17:00: Wahl (Co-)Chapter-Leader und Board OWASP Germany

(inkl. Vorstellung, Diskussion möglicher Aufgaben etc.

17:00 - 18:00: Diskussion & Beschluss
OWASP Conference/Day Germany 2010
(Was, Wo, Wann.... )

Diverses & Sonstiges (Anregungen sind sehr willkommen)

Veranstaltungsende ist geplant ca. 18:00 Uhr.

=== OWASP AppSec Germany 2009 Conference 13.10.09 in Nürnberg ===

Die OWASP AppSec Germany 2009 Conference fand am 13.10.09 mit einer Vorabendveranstalung am 12.10.09 in Nürnberg statt.(The OWASP AppSec Germany 2009 conference will be held on October 13, 2009 in Nürnberg) Die Vorträge * Vorstellung des Open Web Application Security Project * OWASP Education Project * Praktische Erfahrung mit dem Secure Software Lifecycle * Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen * Adaptive Sicherheit durch Anomalieerkennung * Design Bugs * JavaScript aus der Hölle - advanced client side injection techniques of tomorrow * Projektierung der Sicherheitsprüfung von Webanwendungenen * Pentestvorbereitung: Sitemap für Webanwendungen (Tools) OWASP German Chapter Meeting 10th July, 2009 at Mannheim
 
OWASP German Chapter Meeting 10th July, 2009 at Mannheim ===

'''Summary:''' We will start with three interesting fresh talks. The following topics are the next activities of the OWASP German Chapter: the new [http://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative "Stammtisch Initiative"] and the planning of the [http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference OWASP AppSec Germany 2009] at Nuremberg.

'''Location:''' Aula of the [http://www.hs-mannheim.de Hochschule Mannheim], Building 3, Paul-Wittsack-Strasse 10, Mannheim ([http://maps.google.de/maps?f=d&source=s_d&saddr=Mannheim+Hbf&daddr=49.471303,8.48372&geocode=Fbr-8gIduTmBAA%3B&hl=de&mra=dme&mrcr=0&mrsp=1&sz=15&sll=49.474885,8.474715&sspn=0.015532,0.050254&ie=UTF8&z=15 Google Maps]). Please download the [http://www.hs-mannheim.de/campus/grafik/campusplan_legende_web.pdf campus map].

 '''Agenda:'''

12:00 - 13:00 : Lunch (optional, '''please send an email to [mailto:Georg.Hess@artofdefence.com?subject=OWASP%20Chapter%20Meeting%20Lunch%20registration Georg Heß] to register for lunch'''), meeting point for the lunch is at the Aula in Building 3.

13:15 - 13:30 : Opening by our host Prof. Rainer Gerten (German)

13:30 - 14:30 : OWASP Educational Services - Teaching Security!, Martin Knobloch, Member of OWASP Global Education Committee (English)

14:30 - 15:00 : Vorstellung und aktueller Stand des OWASP Germany Projekts "Best Practice: Projektierung von Sicherheitsprüfungen von Web Applikationen", N.N., Projekt-Mitarbeiter (German)

15:00 - 15:45 : Cloud Application Security - Chancen und Risiken - Einige Ansatzpunkte zum Thema, Georg Hess (German)

15:45 - 16:15 : Coffee

16:15 - 17:00 : Organisational topics of the OWASP German Chapter (German)

- OWASP Stammtisch Initiative
- Outlook and organisational tasks for the 2nd [[OWASP Germany 2009 Conference]]

nach 17:00 : Come together (Any ideas for a near pub??)

'''Minutes''' [https://lists.owasp.org/pipermail/owasp-germany/2009-July/000086.html See the list archive for the minutes.]

 

=== Wir sind auf der SYSTEMS 08 in München ===

Besuchen Sie uns vom 21.10. - 24.10.08 in der

:'''IT-SecurityArea - Halle B3, Stand 228'''

 

=== OWASP Germany 2008 Conference 25.11.08 in Frankfurt ===

Die [[OWASP Germany 2008 Conference]] wird am 25.11.08 mit einer Vorabendveranstalung am 24.11.08 in Frankfurt stattfinden.

(The OWASP Germany 2008 conference will be held on November 25, 2008 in Frankfurt.)

=== OWASP German Chapter Meeting - February 20th, 2008 in Darmstadt ===

'''Date: February 20th, 2008, 11:00-16:15''' '''Location: Darmstadt, CAST (http://www.cast-forum.de)''' Fraunhoferstr. 5 (vormals Rundeturmstr. 6) - EG Room 072 - [http://www.cast-forum.de/workshops/anfahrt.html Anfahrt] 

The next chapter meeting will be hosted at CAST in Darmstadt. This time the focus is on technical presentations and discussion. '''Agenda''' Technical presentation slots will consist of 20-30 minute presentation and 15 minute discussion.

*1. (11:00 - 11:15) Welcome, Introduction and Administrativia
*2. (11:15 - 11:30) Vorstellung von CAST (Dr. Heinemann)
*3. (11:30 - 11:45) Short OWASP organisation introduction and update (Tobias Gondrom)
*4. (11:45 - 12:30) First technical presentation "Best Practices beim Einsatz einer Web Application Firewall 1.0" (Slides: [http://www.owasp.org/images/1/1b/WAF-Paper.pdf PDF]) (Alexander Meisel)
*5. (12:30 - 13:15) Break
*6. (13:15 - 14:00) Second technical presentation "Defending against Web Application DoS Attacks" (Maximilian Dermann)
*7. (14:00 - 14:45) 20-Minutes Talks (15 Min Presentation + 5-10 Min Discuss)
**"Input validation in ASP.NET -- tips, tricks & pitfalls" (Boris Hemkemeier)
**"Managing of extremely large Web Application Firewall Installations" (Slides: [http://www.owasp.org/images/f/f6/VeryLargeWAFs.pdf PDF]) (Alexander Meisel)
*8. (14:45 - 15:00) Coffee Break
*9. (15:00 - 15:45) Fourth technical presentation "Secure Coding and Development Guidelines (part of CLASP)" (Tobias)
*10. (15:45 - 16:00) Wrap-up and outlook

 

=== Chapter Meeting on September 7th 2007 in Frankfurt/Main ===

After two years of absence the German Chapter has been restarted. The chapter meeting was on September 7th 2007, 15:00 - 18:00.

This first chapter meeting had as its main goal the re-initiation of the German chapter and to start work on projects. Talks and presentations are secondary and will receive more focus at subsequent meetings.

'''[https://lists.owasp.org/pipermail/owasp-germany/2007-September/000038.html Read meeting notes/minutes here]'''

 

==== comments ====

If you want to participate in the work of the German OWASP chapter or offer to submit work to it and cannot attend the meeting, please contact [[User:Tgondrom|Tobias]] or send an email to our [mailto:owasp-germany@lists.owasp.org chapter mailing list (now working!)].

==Press Relations==

Press Relations of the OWASP German Chapter are currently directed exclusively towards the local press. We therefore do not provide english translations. .

* [http://www.owasp.org/index.php?title=Germany/press Press relations]

== Local News ==
* 12 October 2009: [[Projektierung_der_Sicherheitsprüfung_von_Webanwendungen | Projektierung der Sicherheitsprüfung von Webanwendungen]]
* 10 September 2008: [[Best_Practices:_Web_Application_Firewalls | Best Practices: Web Application Firewalls wiki pages]]
* 17 July 2008: OWASP Germany released [https://www.owasp.org/images/a/a6/Best_Practices_Guide_WAF_v104.en.pdf Best Practices: Use of Web Application Firewalls (English)]

* 18 March 2008: OWASP Germany released [http://www.owasp.org/images/1/1b/Best_Practices_Guide_WAF.pdf Best Practices: Einsatz von Web Application Firewalls (German)]
* 07 September 2007: Chapter meeting in Frankfurt
* 18 July 2007: scheduled chapter meeting on September 7th 2007
* 02 Mar 2007: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.bund.de/fachthem/betriebssysteme/indigo/index.htm#indigoen Indigo Security] (engl: 'Indigo Security').

* 23 Feb 2007: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [http://www.bsi.de/literat/studien/tomcat/index.htm Apache Tomcat Sicherheitsuntersuchung] (engl: 'Apache Tomcat Security Assessment').

* 06 Sept 2006: German Federal Office for Information Security aka ''Bundesamt für Sicherheit in der Informationstechnik (BSI)'' has released the [https://www.bsi.bund.de/cae/servlet/contentblob/476464/publicationFile/30632/WebSec_pdf.pdf Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen] (engl: 'Measures and Best Practices for Web Application Security').

'''OWASP Moves to MediaWiki Portal - 11:05, 20 May 2006 (EDT)'''

OWASP is pleased to announce the arrival of OWASP 2.0!

OWASP 2.0 utilizes the MediaWiki portal to manage and provide
the latest OWASP related information. Enjoy!

[[Category:Germany]]

OWASP AppSec Germany 2010 Conference

2010-07-01T20:36:08Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010.png]] </center>
 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Henkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

coming soon ...

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis 01.08.2010 Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German group of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of November 2010 in Nuremberg. The conference will be held in parallel with the IT-Security exhibition. The conference is primarily oriented toward a german speaking public, but presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security-Awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrocs for application security

Depending on the number of applicants, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the das OWASP-Speaker Agreement without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 01 August 2010''' online via http://www.easychair.org/conferences/?conf=appsecgermany2010. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: 20 October, 2010, Evening program on the 19th of October, 2010

==== Registrierung / Registration ====

coming soon ...

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre wird es eine Vorabendveranstaltung zur Konferenz geben. Details werden hier bekanntgegeben. Die Vorabendveranstaltung wird am 19.10.2010 in Nürnberg stattfinden.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in dern vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

File:Appsec germany 2010.png

2010-07-01T20:35:36Z

Ulrike Petersen: uploaded a new version of "File:Appsec germany 2010.png"

OWASP AppSec Germany 2010 Conference

2010-07-01T20:34:22Z

Ulrike Petersen:

__NOTOC__ 

==== OWASP AppSec Germany 2010 ====

Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.
<center>[[Image:Appsec germany 2010]] </center>
 

== Konferenzdaten ==

Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

 

=== Wo? ===

CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

 

=== Wann? ===

Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

 

== Sponsoren ==

Wir danken unseren Sponsoren:

 

== Organisation ==

*Georg Hess (Chapter Leader Germany)
*Boris Henkemeier (Board Member)
*Tobias Glemser (Board Member)
*Bruce Sams (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)
*Kai Jendrian (Program Committee)
*Martin Johns (Program Committee)
*Dirk Wetter (Program Committee)

'''Looking forward to see you in Nuremberg!'''

 

==== Agenda / Presentations ====

coming soon ...

==== Call for Papers - German Version ====

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

 

== Call for Presentations ==

Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.'''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Termine ==

*Einreichungen bis 01.08.2010 Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
*Benachrichtigung der Vortragenden: 15.08.2009.
*Einreichung der Foliensätze (prefinal): 01.10.2009
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

 

==== Call for Papers - English Version ====

The German group of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of November 2010 in Nuremberg. The conference will be held in parallel with the IT-Security exhibition. The conference is primarily oriented toward a german speaking public, but presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

 

== Call for Presentations ==

To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Secure Development Lifecycle
*Security-Awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.
*Metrocs for application security

Depending on the number of applicants, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the das OWASP-Speaker Agreement without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

 

== Program Committee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

== Dates ==

*'''Submissions no later than 01 August 2010''' online via http://www.easychair.org/conferences/?conf=appsecgermany2010. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
*Notification of acceptance by 15 August 2010.
*Prefinal submission of the slides by 01 October 2010
*Conference: 20 October, 2010, Evening program on the 19th of October, 2010

==== Registrierung / Registration ====

coming soon ...

 

==== Vorabendveranstaltung ====

Wie auch die letzten Jahre wird es eine Vorabendveranstaltung zur Konferenz geben. Details werden hier bekanntgegeben. Die Vorabendveranstaltung wird am 19.10.2010 in Nürnberg stattfinden.

==== it-sa / OWASP Messestand ====

[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in dern vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

==== Anreise ====

==== Infos für Sponsoren ====

==== Kontakt / Contact ====

Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org

<headertabs />

File:Appsec germany 2010.png

2010-07-01T20:30:40Z

Ulrike Petersen: