https://wiki.owasp.org/api.php?action=feedcontributions&user=Sebastian+Schinzel&feedformat=atomOWASP - User contributions [en]2024-03-28T08:09:13ZUser contributionsMediaWiki 1.27.2https://wiki.owasp.org/index.php?title=German_OWASP_Day_2018&diff=242135German OWASP Day 20182018-07-27T10:11:09Z<p>Sebastian Schinzel: </p>
<hr />
<div>[https://owasp.github.io/german-owasp-day/ Link zur Konferenzwebseite.]</div>Sebastian Schinzelhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2018&diff=241989German OWASP Day 20182018-07-19T14:22:58Z<p>Sebastian Schinzel: Created page with "Start."</p>
<hr />
<div>Start.</div>Sebastian Schinzelhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2012/Programm&diff=139201German OWASP Day 2012/Programm2012-11-12T09:24:31Z<p>Sebastian Schinzel: </p>
<hr />
<div>__NOTOC__<br />
<br />
[[German_OWASP_Day_2012|[zurück]]]<br />
<br />
== Agenda / Presentations ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | '''Mittwoch, 07. November 2012''' <br />
<br> <br />
<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | <br> <br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Ammersee 1 <br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Ammersee 2<br />
| align="center" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Alpsee<br> (Mobile Applications Track)<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome: Tobias Glemser, OWASP Chair Germany'''<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Keynote: Volkmar Lotz'''<br> ''Security-Ausbildung in einem Großunternehmen der Softwareindustrie - Erfahrungen und Herausforderungen'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:00 - 10:30 <br />
| align="center" colspan="4" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP Introduction'''<br> ''Jim Manico, co-presented by Jerry Hoff'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:30 - 11:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:00 - 11:45 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | XSS von 1999 bis 2013 - Die Doctrine Classique der Websicherheit <br> ''Mario Heiderich'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Code Review: Prinzipien, Grenzen und Organisation <br> ''Bruce Sams''<br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:45 - 12:30 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Lost in Translation: Missverständnisse zwischen Mensch/Mensch und Mensch/Maschine und deren Auswirkungen auf Web-Security <br> ''[[User:Sebastian Schinzel|Sebastian Schinzel]]'' <br> <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | On Breaking SAML: Be Whoever You Want to Be <br> ''Juraj Somorovsky und Christian Mainka''<br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:30 - 13:30 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:30 - 14:15 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | ''1000 Projekte später: Statische Codeanalyse Sicherheitscode-Scans in der SAP'' <br> ''Rüdiger Bachmann und Achim D. Brucker'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | OWASP Zed Attack Proxy <br> ''Simon Bennetts'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:15 - 15:00 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Threat Modeling von Webanwendungen: Mythen und Best Practices <br> ''Matthias Rohr'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Sheet Cheats <br> ''Jim Manico'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:00 - 15:30 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:30 - 16:05 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Sicherheitsanforderungen: oft vernachlässigt, dabei sehr nützlich! <br> ''Sachar Paulus'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Node.js Security - Old vulnerabilities in new bottles <br> ''Sven Vetsch'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Laufzeitanalyse & Manipulation von Apple iOS Apps <br> ''Andreas Kurtz'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:05 - 16:40 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | A CAPTCHA in the Rye <br> ''Tal Beery'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Lightweight Integrity Protection for Web Storage-driven Content Caching <br> ''Sebastian Lekies'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | The Dark Side of Android Applications <br> ''Michael Spreitzenbarth'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:40 - 17:15 <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | Privacy by Design am Beispiel Facebook <br> ''Florian Stahl'' <br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Der Weg ist das Ziel - Kontrollfluss-Integrität in Web-Applikationen sichern <br> ''Bastian Braun, Patrick Gemein and Hans Reiser'' <br><br />
| align="left" style="width: 30%; background: none repeat scroll 0% 0% rgb(255, 209, 209);" | UI-Redressing-Angriffe auf Android <br> ''Marcus Niemietz'' <br><br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:15 - 17:25 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Umbaupause / Room rearrangement<br />
|-<br />
|-<br />
| style="width: 10%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 17:25 - 18:00 <br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Closing Note: Angela Sasse''' <br>''Making systems secure and usable - what can software developers do''<br />
|}<br />
<br />
<br><br />
<br />
== Downloads ==<br />
<br />
*Volkmar Lotz Hoff [[Media:-missing-|Security-Ausbildung in einem Großunternehmen der Softwareindustrie - Erfahrungen und Herausforderungen ]]<br />
*Jim Manico, Jerry Hoff [[Media:-missing-|OWASP Introduction]]<br />
*Mario Heiderich [[Media:-missing-|XSS von 1999 bis 2013 - Die Doctrine Classique der Websicherheit]]<br />
*Bruce Sams [[Media:Code_Review_Prinzipien_Grenzen_und_Organisation_-_Bruce_Sams.pdf|Code Review: Prinzipien, Grenzen und Organisation]]<br />
*Sebastian Schinzel [[Media:Lost_in_Translation_Missverstaendnisse_zwischen_Mensch_und_Maschine_-_Sebastian_Schinzel.pdf|Lost in Translation]]<br />
*Juraj Somorovsky, Christian_Mainka [[Media:Breaking_SAML_Be_Whoever_You_Want_to_Be_-_Juraj_Somorovsky%2BChristian_Mainka.pdf|On Breaking SAML: Be Whoever You Want to Be ]]<br />
*Ruediger Bachmann, Achim Brucker [[Media:1000_Projects_later_Security_Code_Scans_at_SAP_-_Ruediger_Bachmann%2BAchim_Brucker.pdf|1000 Projekte später: Statische Codeanalyse Sicherheitscode-Scans in der SAP]]<br />
*Simon Bennetts [[Media:Zed_Attack_Proxy_-_Simon_Bennetts.pdf|OWASP Zed Attack Proxy]]<br />
*Matthias Rohr [[Media:Threat_Modeling_von_Webanwendungen_Mythen_und_Best_Practices_-_Matthias_Rohr.pdf|Threat Modeling von Webanwendungen: Mythen und Best Practices]]<br />
*Jim Manico [[Media:-missing-|Sheet Cheats]]<br />
*Sachar Paulus [[Media:Sicherheitsanforderungen_oft_vernachlaessigt_dabei_sehr_nuetzlich_-_Sachar_Paulus.pdf|Sicherheitsanforderungen: oft vernachlässigt, dabei sehr nützlich!]]<br />
*Sven Vetsch [[Media:Node.js_Security_Old_vulnerabilities_in_new_bottles_-_Sven_Vetsch.pdf|Node.js Security - Old vulnerabilities in new bottles]]<br />
*Andreas Kurtz [[Media:Laufzeitanalyse_von_iOS_Apps_-_Andreas_Kurtz.pdf|Laufzeitanalyse & Manipulation von Apple iOS Apps]]<br />
*Tal Beery [[Media:-missing-|A CAPTCHA in the Rye]]<br />
*Sebastian Lekies, Martin Johns [[Media:Lightweight_Integrity_Protection_for_Web_Storage-driven_Content_Caching_-_Sebastian_Lekies%2BMartin_Johns.pdf|Lightweight Integrity Protection for Web Storage-driven Content Caching]]<br />
*Michael Spreitzenbarth [[Media:The_Dark_Side_of_Android_Applications_-_Michael_Spreitzenbarth.pdf|The Dark Side of Android Applications]]<br />
*Florian Stahl [[Media:-missing-|Privacy by Design am Beispiel Facebook]]<br />
*Bastian Braun, Patrick Gemein, Hans Reiser [[Media:Der_Weg_ist_das_Ziel_Kontrollfluss-Integritaet_in_Web-Applikationen_sichern_-_Bastian_Braun%2bPatrick_Gemein%2BHans_Reiser.pdf|Der Weg ist das Ziel: Kontrollfluss-Integritaet in Web-Applikationen sichern]]<br />
*Marcus Niemietz [[Media:UI-Redressing-Angriffe-auf-Android_-_Marcus_Niemietz.pdf|UI-Redressing-Angriffe auf Android]]<br />
*Angela Sasse [[Media:-missing-|Making systems secure and usable - what can software developers do]]<br />
<br />
== Details zu den Vorträgen ==<br />
<br />
<br />
=== ''Keynote'': Volkmar Lotz — Security-Ausbildung in einem Großunternehmen der Softwareindustrie - Erfahrungen und Herausforderungen ===<br />
<br />
<br />
=== ''OWASP Introduction'': Jim Manico, co-presented by Jerry Hoff ===<br />
<br />
<br />
=== Mario Heiderich — XSS von 1999 bis 2013: Die Doctrine Classique der Websicherheit ===<br />
<br />
Cross-Site Scripting Angriffe wurden erstmals vor circa 14 Jahren<br />
dokumentiert. Seitdem hat diese Angriffstechnik eine Evolution<br />
durchzogen, die klassischen Dramentheorie ähnelt - inklusive<br />
Katastase, Heldentum und Peripetie.<br />
<br />
Nun hält HTML Einzug in die Welt der Betriebssysteme, und das Drama<br />
XSS befindet sich an der Baumgrenze zur Katastrophe - der harmlose<br />
"Alert" hat sich zum schwarzen Schwan beliebiger Code-Ausführung im<br />
Betriebssystem gewandelt.<br />
<br />
Dieser Vortrag zeigt die Evolution der Angriffstechnik XSS, untersucht<br />
unser aller Fehler in der bisherig angewandten Bekämpfung, bietet<br />
konsequente Ausblicke und schließt mit Denkanstößen für das Jahr 2013<br />
und fortfolgend.<br />
<br />
<br />
=== Bruce Sams — Code Review: Prinzipien, Grenzen und Organisation ===<br />
<br />
Code Review ist ein immer beliebteres Mittel, um<br />
Schwachstellen im Code während der Entwicklung zu entdecken. Dieser<br />
Vortrag zeigt wie ein effektiver Code Review gestaltet und durchgeführt<br />
wird. Zuerst werden die Prinzipien von Code Review anhand von aktuellen<br />
Beispielen in Java/JEE erläutert: Cross-Site-Scripting, SQL-Injection,<br />
Command-Injection und die Validierung von Eingabedaten werden<br />
besprochen und Lösungen gezeigt, wie derartige Schwachstellen<br />
identifiziert werden können. Danach werden problematische Fälle wie<br />
z.B. HashMaps und dynamisch geladene Klassen untersucht. Im Allgemeinen<br />
wird das Thema Tracing über mehrere Aufrufe hinweg erklärt, und das<br />
Verhältnis False Positive zu False Negative angesprochen.<br />
<br />
Zur Verdeutlichung der Beispiele wird das Open Source Tool FindBugs<br />
verwendet. Darüber hinaus wird ein neuer Satz von über 30 Detektoren<br />
für Findbugs vorgestellt. Diese Detektoren identifizieren<br />
Schwachstellen, die standardmäßig unentdeckt bleiben.<br />
Zum Abschluss wird die Organisation eines Reviews besprochen und die<br />
Integration von Code Review in dem sicheren SDLC vorgestellt. Diese<br />
Diskussion basiert auf eingehende Erfahrung in mehreren deutschen<br />
Großunternehmen.<br />
<br />
Am Ende hat der Teilnehmer einen Überblick über die Vorteile und auch<br />
die Grenzen von Code Review und weiß, wie ein effektiver Review<br />
gestalten werden soll.<br />
<br />
<br />
=== [[User:Sebastian Schinzel|Sebastian Schinzel]] — Lost in Translation: Missverständnisse zwischen Mensch/Mensch und Mensch/Maschine und deren Auswirkungen auf Web-Security ===<br />
<br />
Wir schreiben das Jahr 2012 und in vielen<br />
Web-Entwicklungsprojekten wird das Thema "Sicherheit" noch immer als<br />
notwendiges Übel angesehen. Gerade erfahrene Entwickler sind oft zu<br />
sehr überzeugt von ihrer eigenen Codequalität, als dass sie offen für<br />
Feedback und konstruktive Kritik sind. Wenn es hart-auf-hart kommt, und<br />
Sie sich als Sicherheitsexperte gegen solche Entwickler behaupten<br />
wollen, dann benötigen Sie gute Argumente.<br />
<br />
In diesem interaktiven Vortrag stelle ich einige scheinbar trivial<br />
verständliche Quellcodebeispiele vor, die selbst von erfahrenen<br />
Programmierern (und wahrscheinlich auch vom OWASP Publikum) falsch<br />
verstanden werden. Weiterhin untersuche ich einige öffentlich gewordene<br />
Backdoors, die von Angreifern in den Quellcode der Web-Anwendungen<br />
eingeschleust wurden. Aus den Beispielen wird klar, dass viele<br />
Backdoors auf den ersten Blick (und auch auf den zweiten) harmlos<br />
aussehen, und die Schadroutine nur bei sehr genauem Hinsehen klar wird.<br />
<br />
Die vorgestellten Beispiele verwende ich regelmäßig in Workshops, um<br />
übermäßig selbstbewussten Web-Entwicklern zu veranschaulichen, dass<br />
auch sie in ihrem Verständnis von Quellcode nicht unfehlbar sind. Das<br />
ist eine wichtige Erkenntnis, um einzusehen, dass niemand vor<br />
Sicherheitsschwachstellen gefeit ist und dass selbst erfahrene<br />
Web-Entwickler regelmäßig in sicherer Softwareentwicklung geschult<br />
werden müssen.<br />
<br />
<br />
=== Juraj Somorovsky and Christian Mainka — On Breaking SAML: Be Whoever You Want to Be ===<br />
<br />
The Security Assertion Markup Language (SAML) is a widely<br />
adopted language for making security statements about subjects. It is a<br />
critical component for the development of federated identity<br />
deployments and Single Sign- On scenarios. In order to protect<br />
integrity and authenticity of the exchanged SAML assertions, the XML<br />
Signature standard is applied. However, the signature verification<br />
algorithm is much more complex than in traditional signature formats<br />
like PKCS#7. The integrity protection can thus be successfully<br />
circumvented by application of different XML Signature specific<br />
attacks, under a weak adversarial model.<br />
<br />
In this talk we describe an in-depth analysis of 14 major SAML<br />
frameworks and show that 11 of them, including Salesforce, Shibboleth,<br />
and IBM XS40, have critical XML Signature wrapping vulnerabilities. We<br />
present efficient and practical countermeasures to thwart these<br />
attacks. Moreover, based on our analysis, we developed an automated<br />
penetration testing tool for XML Signature Wrapping called WS-Attacker.<br />
We discuss its main features and its application to SAML-based<br />
frameworks.<br />
<br />
<br />
=== Rüdiger Bachmann and Achim D. Brucker — 1000 Projekte später: Statische Codeanalyse Sicherheitscodesans in der SAP ===<br />
<br />
Statische Code Analyse (SCA) spielt in einem sicheren Softwareentwicklungsprozess (SDL) eine wichtige Rolle um mögliche Sicherheitsschwachstellen bereits zur Entwicklungszeit zu finden und zu beheben.<br />
<br />
Die großflächige Einführung statischer Code Analyse bei einem großen Softwarehersteller stellt eine große Herausforderung dar. Neben den technischen Schwierigkeiten durch die schiere Anzahl und Größe der Softwareprojekte, der Vielzahl unterschiedlicher Programmiersprachen (ABAP, C, Objective-C, ...) oder die Verwendung dynamischer Programmiermodelle wie sie z.B. bei HTML5/JavaScript üblich sind, ergeben sich auch nicht-technische Probleme wie die Schaffung des notwendigen Problembewusstseins, Schulung der Mitarbeiter im Umgang der verwendeten Tools, Einbindung der Analyse in vorhandene Entwicklungs- und Wartungsprozesse.<br />
<br />
In diesem Vortrag berichten wir von unseren Erfahrungen in der großflächigen Einführung von statischer Code Analyse innerhalb der SAP AG.<br />
<br />
<br />
=== [[User:Simon Bennetts|Simon Bennetts]] — OWASP Zed Attack Proxy ===<br />
<br />
The OWASP Zed Attack Proxy (ZAP) is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications.<br />
<br />
It is community project, being maintained by a worldwide group of volunteers and is completely free, open source and cross platform. Since its release in 2010 ZAP has gone from strength to strength and is now a flagship OWASP project.<br />
<br />
Simon (the ZAP project lead) will:<br />
* Introduce ZAP to those who have not encountered it before<br />
* Detail the new features in the most recent releases<br />
* Explain the 3 ZAP related Google Summer of Code projects<br />
* Talk about the future plans<br />
<br />
<br />
=== [[User:Mrohr|Matthias Rohr]] — Threat Modeling von Webanwendungen: Mythen and Best Practices ===<br />
<br />
Mittels einer Bedrohungsmodellierung (engl. Threat Modelling)<br />
lassen sich Risiken, wie etwa potentielle Schwachstellen, bereits<br />
frühzeitig im Rahmen der Entwicklung einer Webanwendung identifizieren<br />
und mit entsprechenden Maßnahmen entgegenwirken. Auch können<br />
Penetrationstests und andere Testmethoden auf Basis eines bestehenden<br />
Bedrohungsmodells in der Regel deutlich effektiver geplant und<br />
durchgeführt werden.<br />
<br />
In der Praxis ist die konkrete Durchführung allerdings häufig mit<br />
zahlreichen Schwierigkeiten verbunden. So existieren zwar einige<br />
konkrete Vorgehensweisen (z.B. Microsoft, PASTA, T-MAP, TRIKE sowie<br />
gleich mehrere auf der OWASP-Webseite selbst), doch verfolgen diese<br />
teilweise recht unterschiedliche Ansätze und eignen sich gewöhnlich<br />
auch nur für bestimmte Anwendungsszenarios und Zielgruppen. Auch<br />
deshalb ist die Verwirrung beim Thema Bedrohungsmodellierung häufig<br />
recht groß.<br />
<br />
Im Rahmen dieses Vortrages, der auf mehrjährigen Erfahrungen mit der<br />
der Erstellung von Bedrohungsmodellen von Webanwendungen basiert,<br />
werden zahlreiche geläufige Mythen aufgeklärt und entsprechende Best<br />
Practices erläutert. Weiterhin wird eine praxisbezogene Vorgehensweise<br />
vorgestellt, mit der sich die Durchführung von Bedrohungsmodellierungen<br />
leicht skalieren, in unterschiedlichen Szenarien einbinden und effektiv<br />
in bestehende Entwicklungsprozesse integrieren lässt.<br />
<br />
<br />
=== [[User:Jmanico|Jim Manico]] — Sheet Cheats ===<br />
<br />
We cannot hack or firewall our way secure. Application programmers need<br />
to learn to code in a secure fashion if we have any chance of providing<br />
organizations with proper defenses in the current threatscape. This talk<br />
will discuss the 10 most important security-centric computer programming<br />
techniques necessary to build low-risk web-based applications. This talk<br />
is best suited for technical web application development professionals<br />
at any stage of the software development lifecycle.<br />
<br />
<br />
=== Sachar Paulus — Sicherheitsanforderungen: oft vernachlässigt, dabei sehr nützlich! ===<br />
<br />
Die Formulierung von Sicherheitsanforderungen findet in<br />
vielen Projekten so gut wie nie statt - doch wie soll eine Software<br />
"sicher" sein, wenn noch nicht einmal klar ist, was "sicher" bedeuten<br />
soll.<br />
<br />
Dieser Vortrag gibt einen Überblick wie Kunden und Nutzer von Software<br />
und Software-Entwicklungsprojekten durch recht schlanke Prozesse zur<br />
Erstellung von Sicherheitsanforderungen die Sicherheit der verwendeten<br />
Applikationen deutlich verbessern können.<br />
<br />
Für das Testen auf Sicherheit, also die Untersuchung von Software auf<br />
Schwachstellen werden meist Prüfkataloge und Best Practices<br />
herangezogen, die die Erfahrungen und das Know-How der testenden<br />
Organisation widerspiegeln, und leider nicht die Aspekte, die ein<br />
gezielter Angriff mit entsprechender Vorab-Analyse ausnutzen würde. Das<br />
ist in etwa vergleichbar mit dem Bild, bei dem ein betrunkener Mann<br />
seinen verlorenen Hausschlüssel im Lichtkreis einer Laterne sucht - und<br />
nicht da, wo er ihn verloren hat, mit der Begründung: im Licht sehe er<br />
wenigstens etwas…<br />
<br />
Die Lösung dieser Problematik besteht darin, dass man das, was getestet<br />
(und natürlich vorher entwickelt) werden soll, überhaupt erst einmal<br />
erfasst und beschreibt. So wie es für funktionale Anforderungen seit<br />
Jahren üblich ist, so müssen auch nicht-funktionale Anforderungen, hier<br />
speziell Sicherheitsanforderungen, auch aufgenommen und dokumentiert<br />
werden.<br />
<br />
Für die Ermittlung von Sicherheitsanforderungen kann sehr gut eine<br />
vereinfachte Variante der Bedrohungsmodellierung herhalten. Um das<br />
Testen einfacher zu machen, können für nicht-funktionale Anforderungen<br />
Akzeptanzkritrien formuliert werden. Dies sind nur zwei einfache<br />
Werkzeuge, diese werden im Vortrag ausführlicher dargestellt.<br />
<br />
<br />
=== Sven Vetsch — Node.js Security - Old vulnerabilities in new bottles ===<br />
<br />
New technologies are a good thing as they drive innovation.<br />
Especially in the web world, innovation is what lead to todays<br />
popularity of sites like Google, Twitter and Facebook. Regarding<br />
security, new technologies also come with the possibility to avoid<br />
known security issues already in the design of a technology or for<br />
example a new programming language. Unfortunately most of the time,<br />
security is not a main focus and therefor also known faults are done<br />
over and over again. In addition to this, new technologies also tend to<br />
invent new vulnerability classes or at least open new ways to exploit<br />
known security issues.<br />
<br />
In this talk I'll take as a practical example the Node (Node.js)<br />
project which allows server side non-blocking JavaScript development.<br />
It's great to have the same language for the frontend as for the<br />
backend as it makes things much easier to connect and also the frontend<br />
and backend developers can better understand each others work. Many<br />
people still think about JavaScript as static *.js files somewhere in a<br />
web accessible directory which is not security relevant as it's static.<br />
This is simply not the case. In the past there where already a lot of<br />
reported security problems related to JavaScript so the question is:<br />
Will those problems also affect Node? I will answer this and more<br />
questions during the talk but be assured, we'll end up with a reverse<br />
shell ;)<br />
<br />
<br />
=== Andreas Kurtz — Laufzeitanalyse & Manipulation von Apple iOS Apps ===<br />
<br />
Mit der Veröffentlichung des Software Development Kits für<br />
die Apple iOS Plattform im Jahr 2008, wurde es erstmals offiziell<br />
möglich, Apples mobile Geräte um eigenentwickelte Applikationen (Apps)<br />
zu erweitern. Seit dieser Zeit wurden in Apples App Store mehr als<br />
650.000 Apps bereitgestellt und diese über 30 Milliarden Mal<br />
heruntergeladen (Stand: Juni 2012).<br />
<br />
iOS Apps werden dabei primär in Objective-C entwickelt. Objective-C ist<br />
eine objektorientierte Erweiterung und strikte Obermenge der<br />
Programmiersprache C, deren Syntax und Konzeption stark an Smalltalk<br />
angelehnt ist. Ähnlich wie viele andere moderne Programmiersprachen,<br />
bietet auch die Objective-C Laufzeitumgebung eine umfangreiche<br />
Reflection-API. Diese ermöglicht den Zugriff sowie die Manipulation von<br />
Klassen und Methoden zur Laufzeit. Dadurch können interne App-Zustände<br />
und Abläufe zur Laufzeit beliebig manipuliert werden.<br />
<br />
Im Rahmen des Vortrags werden zunächst die Hintergründe und<br />
erforderlichen Techniken zur Laufzeitmanipulation von iOS Apps<br />
erläutert: Durch das Einbringen von Bibliotheken in den Prozess einer<br />
laufenden App wird diese nachträglich um Debugging-Funktionalitäten<br />
erweitert. Anschließend können darüber interne Abläufe untersucht und<br />
verändert, vorhandene Methoden beliebig ausgeführt oder deren<br />
Implementierung überschrieben werden. Anhand einiger Praxisbeispiele<br />
wird demonstriert, wie die Laufzeitmanipulation das Reverse Engineering<br />
von Apps erleichtern kann und welche neuen Bedrohungen daraus für<br />
mobile Apps resultieren.<br />
<br />
<br />
=== Robert Rachwald — A CAPTCHA in the Rye ===<br />
<br />
A CAPTCHA, or Completely Automated Public Turing test to tell<br />
Computers and Humans Apart, is a common security measures used to distinguish between humans<br />
and a "phony". Ideally, a CAPTCHA should distinguish human users from<br />
automated browsing applications, preventing automated tools from abusing online services.<br />
Hackers have deployed numerous methods to bypass CAPTCHAs, such as outsourcing<br />
readers to India or creating CAPTCHA games that reward users with<br />
pornographic images. <br />
<br />
The line between real and phony isn’t clear, forcing security professionals<br />
to present CAPTCHAs sub optimally.<br />
This talk will present several innovative CAPTCHA methods have appeared<br />
recently and review the use of CAPTCHAs as a security mechanism against<br />
malicious automation. We report and analyze four case studies and<br />
provide recommendations on ways to implement CAPTCHAs as an integrated<br />
part of a security strategy. Specifically, security teams should:<br />
<br />
* Use novel CAPTCHA methods that make the CAPTCHA into something enjoyable, like a mini-game.<br />
* Minimize the number of CAPTCHA challenges that legitimate users encounter. <br />
<br />
The idea is to present a CAPTCHA only when users exhibit<br />
suspicious behavior. To detect such, the site should use the other<br />
automation detection mechanisms.<br />
<br />
<br />
=== Sebastian Lekies — Lightweight Integrity Protection for Web Storage-driven Content Caching ===<br />
<br />
The term Web storage summarizes a set of browser- based technologies<br />
that allow application-level persistent storage of key/values pairs on<br />
the client-side. These capabilities are frequently used for caching of<br />
markup or script code fragments, e.g., in scenarios with specific<br />
bandwidth or responsiveness requirements. <br />
<br />
Unfortunately, this practice<br />
is inherently insecure, as it may allow attackers to inject malicious<br />
JavaScript payloads into the browser’s Web storage. Such payloads<br />
reside in the victim’s browser for a potentially prolonged period and<br />
lead to resident compromise of the application’s client-side code.<br />
<br />
In this paper, we first present three possible attack scenarios that<br />
showcase how an attacker is able to inject code into web storage. Then<br />
we verify that Web storage is indeed used in the outlined, insecure<br />
fashion, via a large-scale study of the top 500.000 Alexa domains.<br />
Furthermore, we propose a lightweight integrity protecting mechanism<br />
that allows developers to store markup and code fragments in Web<br />
storage without risking a potential compromise. Our protection approach<br />
can be introduced without requiring browser modifications and<br />
introduces only negligible performance overhead.<br />
<br />
<br />
=== Michael Spreitzenbarth — The Dark Side of Android Applications ===<br />
<br />
It is now well-known that, for various reasons, Android has<br />
become the leading OS for smartphones with more than 50% of worldwide<br />
market share within only a few years. This fast growth rate also has an<br />
evil side. Android brought backdoors and trojans to the yet spared<br />
Linux world with growth rates of over 3,000% in the last half of 2011<br />
and about 15,000 newly discovered malicious applications in the second<br />
quarter of 2012.<br />
<br />
These malicious apps are only seldomly obfuscated and very basic in<br />
their functionality. In this presentation, we will give a short<br />
overview of the existing malware families and their main<br />
functionalities. As an example, we will present the results of reverse<br />
engineering a paradigmatic malware sample of the FakeRegSMS family.<br />
This sample was chosen because it tries to implement the first very<br />
simple approaches of obfuscation and behavior hiding.<br />
<br />
Afterwards, we will show how actual malware detection systems are<br />
working. In this step we will concentrate on, often self-written,<br />
static detection modules. The detection mainly relais on the<br />
combination of permissions, receivers and API calls. Some of these<br />
systems also try to detect if an application is under- or<br />
over-privileged by comparing the API calls and the requested<br />
permissions. The well known systems (MobileSandbox and Andrubis) use a<br />
dynamic analysis with TaintDroid/DroidBox as an additional step. These<br />
systems perform taint-analysis and monitor sensitive data throughout<br />
the complete data-flow of the application. With this functionality it<br />
is possible to detect which sensitive data is leaving the device. With<br />
the knowledge we gained in this step, we will then discuss why<br />
developers should take care of permissions and ad-networks they use<br />
within their applications.<br />
<br />
Especially ad-networks are a reason why benign apps are detected as<br />
malicious with an increasing frequency. This happens because this<br />
networks often send sensitive user data like unique identifiers (IMEI,<br />
IMSI, etc.) and sometimes even stored contact and calendar entries over<br />
the Internet. One of the most aggressive ad-networks is mobclix, which<br />
tries to get access to stored account data, location of the user and<br />
even tries to get write access to contacts and calendar. The well known<br />
ad-library mOcean is even able to send SMS messages and start phone<br />
calls without user interaction and notice.<br />
<br />
We conclude with discussing the following questions: How do you get<br />
infected? What was the main goal of malware authors in recent malicious<br />
applications? And finally, how does the future of malware look like?<br />
<br />
<br />
=== Florian Stahl — Privacy by Design am Beispiel Facebook ===<br />
<br />
Der Vorschlag für die Überarbeitung der Anfang des Jahres publizierten<br />
europäischen Datenschutzrichtlinie sieht vor das Konzept „Privacy by<br />
Design“ (PbD) verpflichtend zu machen. Dies wird auch bei der<br />
Entwicklung von Webanwendungen zu neuen Anforderungen führen, wenn<br />
diese personenbezogene Daten verarbeiten. Bisher wird Privacy by Design<br />
selten konsequent berücksichtigt, da Datenschutz kaum als explizite<br />
Anforderung im Pflichtenheft auftaucht und vielen Projektleitern und<br />
Softwareentwicklern die Kenntnisse in dem Bereich fehlen. Deshalb<br />
werden in<br />
diesem Vortrag die zukünftig erforderlichen Grundlagen von Privacy by<br />
Design erläutert und Beispiele geliefert, die sich bei der Entwicklung<br />
von Webapplikationen in der Praxis bewährt haben. Dabei werden auch die<br />
sieben Prinzipien von Privacy by Design nach Ann Cavoukian (kanadische<br />
Mitgründerin des Konzepts) vorgestellt. <br />
<br />
Neben dem datenschutzfreundlichen Design von Produkten<br />
bzw. Applikationen z.B. durch Anonymisierung, Verschlüsselung und<br />
Datensparsamkeit gelten u.A.Transparenz, Datenschutz als<br />
Standard-Einstellung (Default) und der Schutz von Daten im kompletten<br />
Lebenszyklus als zentrale Aspekte von Privacy by Design. Die Vorgaben<br />
gelten aber nicht nur für die Applikation selbst, sondern auch für die<br />
Prozesse rund um die Entwicklung und den Transfer von Daten z.B.<br />
während der Migration. <br />
<br />
Für existierende Webanwendungen sollte nach der<br />
für 2014 geplanten Einführung der neuen Richtlinie ein "Privacy by<br />
Redesign" in Erwägung gezogen werden, um fehlende Datenschutz-Maßnahmen<br />
nachträglich zu implementieren. Ein derartiges Vorgehen wird im Vortrag<br />
am Beispiel des sozialen Netzwerks Facebook vorgestellt, das in der<br />
Vergangenheit durch seinen umstrittenen Umgang mit den Daten seiner<br />
Nutzer aufgefallen ist. Es wird untersucht, ob und wie man das soziale<br />
Netzwerk konform zum Konzept Privacy by Design machen könnte, denn die<br />
neuen europäischen Datenschutzvorgaben sollen auch für<br />
nicht-europäische Unternehmen gelten, wenn sie Daten von EU-Bürgern<br />
speichern oder verarbeiten.<br />
<br />
<br />
=== Bastian Braun, Patrick Gemein und Hans Reiser — Der Weg ist das Ziel: Kontrollfluss-Integrität in Web-Applikationen sichern ===<br />
<br />
Moderne Web-Applikationen implementieren häufig komplexe<br />
Kontrollflüsse, die erfordern, dass die Benutzer ihre Aktionen in einer<br />
bestimmten Reihenfolge ausführen. Die Benutzer interagieren mit<br />
Web-Applikationen durch das Senden von HTTP-Anfragen (requests) mit<br />
Parametern und den Empfang von Antworten (responses), die Verweise<br />
(hyperlinks) enthalten und dadurch die nächsten Schritte bestimmen.<br />
Falls eine Web-Applikation darauf vertraut, dass Benutzer nur den in<br />
ihre Webseiten eingebundenen Verweisen folgen, können bösartige<br />
Benutzer Anfragen generieren, die auf Seiten des Betreibers der<br />
Web-Applikation Schaden anrichten.<br />
<br />
Analysen von Angriffen mit Benutzer-generierten Anfragen auf<br />
Web-Applikationen zeigen, dass die Ursache in der fehlenden<br />
Kontrollfluss-Definition und –Durchsetzung auf Serverseite zu finden<br />
ist. Unter anderem hat sich herausgestellt, dass die verwendeten<br />
Parameter ein wichtiger Aspekt der Wirkung von Anfragen sind. Darauf<br />
aufbauend haben wir einen Kontrollfluss-Monitor entwickelt, der sowohl<br />
bei existierenden als auch bei neu zu entwickelnden Web-Applikationen<br />
angewendet werden kann. Er wird über eine Kontrollfluss-Definition<br />
konfiguriert und garantiert der geschützten Web-Applikation, dass<br />
ausschließlich die definierten Anfrage-Sequenzen und erwartete<br />
Parameter von der Web-Applikation verarbeitet werden müssen. <br />
<br />
Der<br />
implementierte Kontrollfluss-Monitor verhindert Race Conditions, eine<br />
besondere Form von Angriffen auf die Kontrollfluss-Integrität von<br />
Web-Applikationen. Darüber hinaus unterstützt er aktuelle<br />
Browser-Features wie Multitabbing und die Verwendung des<br />
"Zurück"-Knopfes. Die Evaluierung ergab, dass der Kontrollfluss-Monitor<br />
einen erträglichen Overhead verursacht.<br />
<br />
<br />
=== Marcus Niemietz — UI-Redressing-Angriffe auf Android ===<br />
<br />
Bereits im Jahr 2002 war der Security-Community intuitiv klar, dass<br />
transparente Elemente innerhalb eines Webbrowsers eine Gefahr für den<br />
Benutzer darstellen. Dies resultierte unmittelbar aus der Überlegung,<br />
dass ein Opfer auf ein Element wie eine Schaltfläche klicken kann, ohne<br />
zu sehen das ein Klick auf diese Schaltfläche erfolgt. Das daraus<br />
abgeleitete Verfahren wurde im Jahr 2008 neu aufgegriffen und mit dem<br />
Begriff Clickjacking bezeichnet. Dabei hatte ein Angreifer die<br />
Möglichkeit einen automatischen Zugriff auf die Kamera sowie das<br />
Mikrofon eines Opfers (ohne dessen Wissen) zu erhalten. Seit dem Jahr<br />
2008 hat sich eine Vielfalt von auf Clickjacking basierenden Angriffen<br />
gebildet, die heutzutage unter der Angriffsmenge des UI-Redressing<br />
fallen.<br />
<br />
In diesem Vortrag wird gezeigt, welche UI-Redressing-Angriffe und<br />
Gegenmaßnahmen sich auf das Betriebssystem Android übertragen lassen.<br />
Dabei wird ein Schwerpunkt auf Clickjacking ähnliche Angriffsmethoden<br />
(Tapjacking) gelegt, die keinen Webbrowser benötigen. Ein Angreifer<br />
kann daher mit einer Applikation, die bspw. keine Rechte zum<br />
telefonieren hat, mit nur einer Touch-Geste eine beliebige und vom<br />
Angreifer definierte Telefonnummer ungewollt anrufen.<br />
<br />
<br />
=== ''Closing Note'': Angela Sasse — Making systems secure and usable - what can software developers do ===<br />
<br />
== Sprecher ==<br />
<br />
(in alphabetischer Ordnung)<br />
<br />
=== Simon Bennetts ===<br />
<br />
(a.k.a. Psiinon) has been developing web applications since<br />
1997, and strongly believes that you cannot build secure web applications<br />
without knowing how to attack them.<br />
He works for Mozilla as part of their Security Team.<br />
<br />
Some of the projects Simon works on:<br />
*OWASP Zed Attack Proxy project lead<br />
*OWASP Data Exchange Format project lead<br />
*Bodge It Store project lead<br />
*OWASP AppSensor contributor<br />
*wavsep contributor<br />
'Penetration Testing for Developers' blog author<br />
<br />
He is also one of the chapter leaders for the OWASP Manchester chapter.<br />
<br />
Simon has a B.Sc in Computing and Information Systems from Manchester<br />
University.<br />
<br />
<br><br />
<br />
=== Bastian Braun ===<br />
<br />
erhielt sein Diplom in Informatik und sein Vordiplom in<br />
Betriebswirtschaftslehre an der RWTH Aachen im Sommer 2006. Danach<br />
schloss er sich als Doktorand der Forschungsgruppe „Sicherheit in<br />
Verteilten Systemen“ an der Uni Hamburg an. 2008 folgte er seinem<br />
Doktorvater Joachim Posegga an die Uni Passau, wo er seitdem Mitglied<br />
des Instituts für IT-Sicherheit und Sicherheitsrecht ist. Zur Zeit<br />
arbeitet er an dem EU-Forschungsprojekt WebSand als Leiter des<br />
Arbeitspakets für sichere Web-Interaktion.<br />
<br />
<br><br />
<br />
=== Dr. Mario Heiderich ===<br />
<br />
arbeitet als Forscher für die Ruhr-Universität in<br />
Bochum, findet Lücken im IE und anderen Tools für Microsoft in Redmond<br />
und arbeitet im wesentlichen im Bereich HTML5- und SVG- und<br />
Browser-Sicherheit. <br />
<br />
Mario glaubt allen ernstes, man könne XSS mittels<br />
JavaScript verhindern und besiegen, schrieb darüber eine Dissertation<br />
und hat auch sonst eher wunderliche Ansichten. <br />
<br />
In der verbleibenden<br />
Zeit pen-testet und berät Mario diverse DAX-Unternehmen, spricht auf<br />
internationalen Konferenzen und hat irrationale Freude am Finden von<br />
Bugs und Designfehlern.<br />
<br />
<br><br />
<br />
=== Volkmar Lotz ===<br />
<br />
Volkmar Lotz has more than 20 years experience in industrial research on Security and Software Engineering. He is heading the Security & Trust practice of SAP Research, a group of 40+ researchers investigating into applied research and innovative security solutions for modern software platforms, networked enterprises and Future Internet applications. The Security & Trust practice defines and executes SAP's security research agenda in alignment with SAP's business strategy and global research trends. <br />
<br />
Volkmar’s current research interests include Business Process Security, Service Security, Authorisation, Security Engineering, Formal Methods and Compliance. Volkmar has published numerous scientific papers in his area of interest and is regularly serving on Programme Committees of internationally renowned conferences. He has been supervising various European projects, including large-scale integrated projects. Volkmar holds a diploma in Computer Science from the University of Kaiserslautern.<br />
<br />
<br><br />
<br />
=== Jim Manico ===<br />
<br />
is the VP of Security Architecture for WhiteHat<br />
Security. Jim is also the host of the OWASP Podcast Series, is the<br />
committee chair of the OWASP Connections Committee, is the project<br />
manager of the OWASP Cheatsheet series, and is a significant contributor<br />
to several additional OWASP projects. Jim provides secure coding and<br />
developer awareness training for WhiteHat Security using his 8+ years of<br />
experience delivering developer-training courses for SANS, Aspect<br />
Security and others. He brings 16 years of database-driven Web software<br />
development and analysis experience to WhiteHat and OWASP as well. Jim<br />
works on the beautiful island of Kauai, Hawaii where he lives with his<br />
wife Tracey.<br />
<br />
<br><br />
<br />
=== Marcus Niemietz ===<br />
<br />
forscht an der Ruhr-Universität Bochum nach Methoden,<br />
um Hackern einen Schritt voraus zu sein und sowohl UI-Redressing als<br />
auch Cross-Site Scripting Angriffe zu verhindern. Er ist ein aktiver<br />
Sprecher auf zahlreichen internationalen IT-Security Konferenzen; in<br />
der Vergangenheit u. a. auf der Hackerkonferenz von Microsoft in<br />
Redmond. Darüber hinaus arbeitet er als Penetrationstester und<br />
Web-Security-Trainer. Marcus Niemietz ist ein publizierender Buchautor<br />
im Bereich der Websicherheit.<br />
<br />
<br><br />
<br />
=== Matthias Rohr ===<br />
<br />
(CISSP, CSSLP, CCSK) ist selbstständiger Berater für<br />
Anwendungssicherheit und momentan wohnhaft in London. Er befasst sich<br />
schwerpunktmäßig mit Konzeption und Management von Anwendungssicherheit<br />
in Enterprise Umgebungen sowie mit entwicklungsnahen Sicherheitsthemen.<br />
<br />
<br><br />
<br />
=== Prof. M. Angela Sasse ===<br />
is the Professor of Human-Centred Technology and Head of Information Security Research in the Department of Computer Science at University College London. Since 1996, Prof. Sasse has been researching usability issues of security systems, and published research on effectiveness and usability of authentication mechanisms, access control mechanisms, user attitudes and perceptions to computer security, and human and financial cost of security mechanisms. She chairs the Cybersecurity KTN on Human Vulnerabilities in Security Systems, and teaches a Masters-level course at UCL, Oxford University, and the Defence Academy.<br />
<br />
<br><br />
<br />
=== [[User:Sebastian Schinzel|Dr. Sebastian Schinzel]] ===<br />
<br />
forscht als Postdoc an der FAU Erlangen am<br />
Lehrstuhl für IT-Sicherheitsinfrastrukturen an den Themen<br />
Penetrationstests und Softwaresicherheit. Vor seiner akademischen<br />
Laufbahn hat er mehr als 7 Jahre als Penetrationstester, Berater und<br />
Autor in der Wirtschaft gearbeitet.<br />
<br />
<br><br />
<br />
=== Florian Stahl ===<br />
<br />
ist als Senior Consultant für Information Security bei<br />
der msg systems ag in München tätig. Er ist<br />
Diplom-Wirtschaftsinformatiker, Master of Computer Science, CISSP und<br />
CCSK und treibt die Umsetzung von Informationssicherheits- und<br />
Datenschutz-Anforderungen in zahlreichen Projekten zur Entwicklung oder<br />
Prüfung von Webanwendungen voran. Herr Stahl hat langjährige<br />
internationale Erfahrung in der Beratung und Schulung zu technischen<br />
und organisatorischen Datenschutz-Themen bei DAX-Unternehmen und ist<br />
Mitglied der IAPP (International Association of Privacy Professionals).<br />
Seine aktuellen Kernthemen sind Privacy by Design und Aspekte der<br />
überarbeiteten EU-Richtlinie zum Datenschutz.<br />
<br />
<br><br />
<br />
[[German_OWASP_Day_2012|[zurück]]]</div>Sebastian Schinzelhttps://wiki.owasp.org/index.php?title=German_OWASP_Day_2011&diff=120353German OWASP Day 20112011-11-17T11:35:40Z<p>Sebastian Schinzel: Suche auf Twitter hashtag verlinkt</p>
<hr />
<div>__NOTOC__ <!--<br />
--> <br />
<br />
[[Image:2011 owasp day.png|center|Logo 4th German OWASP Day]] <br />
<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center> <br />
<br> <br />
<br />
==== OWASP Day 2011 ====<br />
<br />
= 4. German OWASP Day 2011 =<br />
<br />
Langsam wird es zur erfreulichen Gewohnheit: Wie die letzten drei Jahre (siehe [https://www.owasp.org/index.php/OWASP_AppSec_Germany_2010_Conference 2010], [https://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference 2009], [https://www.owasp.org/index.php/OWASP_Germany_2008_Conference 2008]) wird es auch dieses Jahr in Deutschland wieder eine OWASP-Konferenz geben: den 4. German OWASP Day. 2011 wird die Konferenz in München stattfinden. Natürlich gibt es auch dieses Jahr wieder ein Vorabendevent zum Netzwerken, Kennenlernen und Diskutieren. <br />
<br />
<br> <br />
<br />
== Wir danken unseren Sponsoren ==<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" align="left" style="width:99%;margin-bottom:1em;"<br />
|-<br />
! align="left" style="border-bottom:1px solid black;min-width:8em" colspan="3" | Platin <br />
|-<br />
| [[Image:Riverbed.jpg|left|link=http://www.riverbed.com/|www.riverbed.com]] <br />
<br> <br />
|-<br />
! align="left" style="border-bottom:1px solid black;min-width:10em" | Gold <br />
! align="left" style="border-bottom:1px solid black;min-width:10em" | Silber <br />
! align="left" style="border-bottom:1px solid black;min-width:10em" | Bronze<br />
|- <!-- Zeile 1 --><br />
| [[Image:Optimabit logo 692.33p.jpg|left|228x51px|link=http://www.optimabit.com/|www.optimabit.com]] <br />
<br> <br />
<br />
| [[Image:Gemalto brand fullcol web.png|left|link=http://gemalto.com/financial/ebanking/index.html|gemalto.com]] <br />
<br> <br />
<br />
| [[Image:Telecons.kl.jpg|left|link=http://www.tele-consulting.com/|www.tele-consulting.com]]<br />
|- <!-- Zeile 2 --><br />
| <br>[[Image:Schutzwerk-300x29.png|left|link=http://www.schutzwerk.com/|www.schutzwerk.de]] <br />
<br> <br />
<br />
| [[IMage:Airlock_ergon.png|left|152x55px|link=http://www.airlock.ch|www.airlock.ch]]<br />
<br><br />
<br />
| [[Image:Sicsec-130x39.png|left|link=http://sicsec.de/|www.sicsec.de]]<br />
|- <!-- Zeile 3 --><br />
| [[Image:SecureNet-Logo-240x56.png|left|link=http://www.securenet.de/|www.securenet.de]] <br />
<br> <br />
<br />
| <br />
| [[Image:Astaro sophos.png|left|link=http://www.astaro.com/|www.astaro.com]]<br />
|- <!-- Zeile 4 --><br />
| [[Image:Trustwave_logo.jpg|left|link=https://www.trustwave.com/|www.trustwave.com]]<br />
<br><br />
| <br />
|<br />
|- <!-- Zeile 5 --><br />
| [[Image:Sonicwall.png|left|link=https://www.sonicwall.com/|www.sonicwall.com]]<br />
<br><br />
| <br />
|<br />
|- <!-- Zeile 6 --><br />
| [[Image:Cancom.jpg|left|link=http://www.cancom.de/|www.cancom.de]]<br />
| <br />
|<br />
|- <!-- Zeile 7 --><br />
| [[Image:Imperva_250x34.jpg|left|link=https://www.imperva.de/|www.imperva.de]]<br />
| <br />
|<br />
|}<br />
<br />
== Konferenzdaten ==<br />
<br />
=== Wo ===<br />
<br />
Die Konferenz findet im [http://maps.google.de/maps?f=q&source=s_q&hl=en&geocode=&q=nh+muenchen+dornach+Einsteinring&aq=&g=Einsteinring+20,+85609+Munich&ie=UTF8&hq=nh&hnear=Einsteinring,+Dornach+85609+Aschheim,+M%C3%BCnchen,+Bayern&ll=48.147019,11.714859&spn=0.048105,0.13175&z=14 NH-Hotel München Dornach] statt. <br />
<br />
Die Lokation für unsere Vorabendveranstaltung werden wir in Kürze bekannt geben. <br />
<br />
=== Wann ===<br />
<br />
*Vorabendveranstaltung: Mittwoch, den 16.11.2011 <br />
*Konferenz: Donnerstag, den 17.11.2011<br />
<br />
=== Mailing ===<br />
<br />
* 10.09.2011 [[Media:Mailing-Einladung-9sep11.pdf | 2011 - das Jahr der Datendesaster im Internet: Präventionen auf dem 4. German OWASP Day<br />
am 17. November 2011]]<br />
* 04.10.2011 [[Media:Mailing-Agenda-Sept2011.pdf | Das Programm des vierten German OWASP Day ist online]]<br />
* 13.10.2011 [[Media:Mailing-Agenda-Okt2011.pdf | 2011 - zum Jahr der Datendesaster im Internet: Agenda zum 4. German OWASP Day am 17. November 2011]]<br />
<br />
== Ankündigung ==<br />
<br />
Das '''OWASP Academy Portal''' wird ein "Labor" mit theoretischen und praktischen Übungen zu den ''OWASP Top 10'' anbieten.<br />
Das Portal wird im Rahmen des Vortrags [[German_OWASP_Day_2011#tab=Agenda_.2F_Presentations | OWASP Global Education Committee]] von Martin Knobloch vorgestellt und erklärt.<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" align="left" style="width:99%;margin-bottom:1em;background:transparent;"<br />
|-<br />
| Der Service '''FREE OWASP TOP 10''' für die Übungen, Bewertungen und Auswertungen wird von Hacking-Lab kostenlos für OWASP zur Verfügung gestellt.<br />
| [[Image:Hacking-lab_177x65.png|right|link=https://www.hacking-lab.com|www.hacking-lab.com]] <br />
|}<br />
<br />
== Organisation ==<br />
<br />
*Birgit Bernskötter (Extern) <br />
*Georg Hess (Chapter Leader) <br />
*Bruce Sams (Board Member) <br />
*Tobias Glemser (Board Member) <br />
*[[User:Achim|Achim Hoffmann]] (Board Member) <br />
*Ulrike Petersen (Board Member)<br />
*[[User:Dirk_Wetter|Dirk Wetter]]<br />
<br />
=== Hash tag ===<br />
<br />
[https://twitter.com/#!/search/%23owasp_d2011 &#35;owasp_d2011]<br />
<br />
==== Abendveranstaltung ====<br />
=== Abendveranstaltung ===<br />
<br />
=== Wann ===<br />
Mittwoch, den 16.11.2011, ab 19:30<br />
<br />
=== Wo ===<br />
[http://www.braeustuben.de/lokal.php Augustiner Bräustuben], Landsberger Str. 19, 80339 München<br />
[http://maps.google.de/maps?q=LANDSBERGER+STRASSE+19+80339+M%C3%9CNCHEN&hq=&hnear=0x479e7601b699ffd5:0x4be4ced9008a615b,Landsberger+Stra%C3%9Fe+19,+D-80339+M%C3%BCnchen&gl=de&ei=12GhTpmxPMTusga_h73pAg&sa=X&oi=geocode_result&ct=image&resnum=1&ved=0CB0Q8gEwAA Stadtplan und Streetview]<br />
<br />
Raum Alte Schmiede<br />
<br />
=== Anreise ===<br />
<br />
== S-Bahn ==<br />
* Vom Hauptbahnhof: S1, S2, S3, S4, S6, S7, S8 bis Hackerbrücke, dann ca. 5 Minuten Fußweg (Hackerbrücke Richtung Süden, Grasserstr. bis Landsbergerstr., dann rechts bis zur nächsten Straße links)<br />
* Vom Westen (z.B. Pasing): S3, S4, S6, S8 bis Hackerbrücke, dann wie vom Hauptbahnhof<br />
[http://efa.mvv-muenchen.de/mvv/XSLT_TRIP_REQUEST2 Fahrplanauskunft]<br />
<br />
== Hauptbahnhof ==<br />
(Ausgang Süd) ca. 15 Minuten, zu Fuß Bayerstraße Richtung Westen, weiter in Landsbergerstr. bis Nr. 19<br />
== Auto ==<br />
* Vom Westen (z.B. Autobahnende A8): am Autobahnende rechts nach Pasing, dort links in Richtung München Zentrum, wird zur Landsbergerstr.<br />
* alle anderen Richtungen über Mittlerer Ring West bis Donnersbergerbrücke, dort Richtung München Zentrum, ist die Landsbergerstr.<br />
<br />
==== Agenda / Presentations ====<br />
=== Agenda / Presentations ===<br />
<br />
Die Agenda für den 4. German OWASP Day 2011: <br><br />
<br><br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | '''17. November 2011''' <br />
<br> <br />
<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | <br> <br />
| align="center" style="width: 44%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Auditorium 1 <br />
| align="center" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Auditorium 2<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15 <br />
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' -- Georg Hess (Head German Chapter) <br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:15 <br />
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Keynote: Isabel Münch (BSI) '''<br> Titel: ''Sicherheit in und für Deutschland'' <br><br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45 <br />
| align="center" colspan="3" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP Introduction'''<br> ''Sebastien Deleersnyder'' <br><br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15 <br />
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 12:00 <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Quellcodescans von Webanwendungen in der Praxis - gängige Fallstricke und Wege zum erfolgreichen Einsatz in Unternehmen <br> ''Sebastian Schinzel'' <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | What are hackers hacking? <br> ''Rob Rachwald'' and ''Noa Bar-Yosef<br>''<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:45 <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Sicherheit mobiler Apps <br> ''Andreas Kurtz'' <br> <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | OWASP Global Education Committee <br> ''Martin Knobloch''<br><br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:45 - 13:45 <br />
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:45 - 14:30 <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Client-Side Cross-Domain Requests im Webbrowser: Techniken, Policies und Sicherheitsprobleme <br> ''Sebastian Lekies, Walter Tighzert'' <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | No reason to be SAD? The Integration of a Secure Development Life Cyle in OSS Enterprise Web Applications <br> ''Thomas Biege''<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15 <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Web-Services-Security - Reicht der REST? <br> ''Hans-Joachim Knobloch'' und ''Kai Jendrian'' <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Secure SDLC für die Masse dank OpenSAMM? <br> ''Markus Wagner'' <br><br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45 <br />
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:30 <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | How To Break XML Signature and XML Encryption <br> ''Juraj Somorovsky''<br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten<br> ''Amir Alsbih'' <br><br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:30 - 17:30 <br />
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | Invited Talk: '''Thomas Roessler (W3C) ''' <br>Thema: Von Webseiten zu verteilten Cloud-Anwendungen: Entwicklungen in der Web-Sicherheit<br />
|}<br />
<br />
<br><br />
<!--<br />
== Slides der Vorträge ==<br />
<sup>coming 17. November</sup><br />
<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="center" style="width: 44%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Auditorium 1 <br />
| align="center" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Auditorium 2<br />
|-<br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | <br />
|}<br />
<br />
<br><br />
<br />
--><br />
<br />
== Details zu den Vorträgen ==<br />
<br />
<br><br />
=== ''Keynote'': Isabel Münch (BSI) — Sicherheit in und für Deutschland ===<br />
<br />
=== ''OWASP Introduction'': [[User:Sdeleersnyder|Sebastien Deleersnyder]] - OWASP (global) Board Member ===<br />
<br/><br />
<br />
=== [[User:Sebastian_Schinzel|Sebastian Schinzel]] — Quellcodescans von Webanwendungen in der Praxis - gängige Fallstricke und Wege zum erfolgreichen Einsatz in Unternehmen ===<br />
<br />
Statische Code-Analyse (SCA) ist ein Software-Testverfahren, um nach Schwachstellen im Quelltext einer Anwendung zu suchen, ohne diese auszuführen. Automatisierte Werkzeuge (so genannte SCA-Tools) sollen bei der Analyse unterstützen. Mittlerweile sind diese Werkzeuge technische ausgereift und finden reale Schwachstellen – auch und gerade in Webanwendungen, die häufig ein besonderes Risiko für Unternehmen darstellen.<br />
<br />
Häufig werden SCA-Tools noch als simple "Bug-Finder" angesehen, mit denen ein Softwaretester bereits fertig entwickelte Anwendungen auf Schwachstellen untersucht. Diese Ansicht ist aus vielerlei Gründen problematisch: Erstens werden Schwachstellen erst sehr spät im Entwicklungsprozess gefunden. Da es bekanntlich deutlich günstiger ist, Defekte während der Entwicklung zu beheben als zu einem späteren Zeitpunkt, ist die nachgelagerte Ausführung häufig unwirtschaftlich. Zweitens bekommen die Entwickler kein direktes Feedback, lernen daher nicht aus ihren Fehlern und machen die gleichen Fehler wieder und wieder. Hier kommen letztendlich auch psychologische Aspekte zum Tragen: Anstatt am Ende eines Projekts für seine Programmierfehler gerügt zu werden, sollten die Entwickler durch SCA-Tools bereits während der Entwicklung auf mögliche Schwachstellen hingewiesen werden. Drittens kann das SCA-Tool am Ende von großen Projekten mehrere Hundert oder Tausend potentielle Schwachstellen melden. Diese Ergebnisse zu bewerten bedeutet erheblichen Aufwand und kann sowohl Budget und Abgabefristen, als auch die Nerven des Teams überstrapazieren.<br />
<br />
In diesem Vortrag zeige ich, wie und an welcher Stelle im Entwicklungsprozess SCA-Tools in erfolgreichen Entwicklungsprojekten eingesetzt werden, wie man nach dem Kosten/Nutzen-Prinzip entscheidet, welche Testfälle eines SCA-Tools aktiviert werden sollten und wie man auch große Mengen gefundener Schwachstellen aus der Sicht des Risikomanagements bewertet.<br />
<br />
<br><br />
<br />
=== Rob Rachwald, Noa Bar-Yosef — What are hackers hacking? ===<br />
<br />
Vulnerabilities are everywhere. Knowing where they are is useful - but knowing which one will be exploited is much more useful. Security professionals need to focus on real threats plaguing today’s practitioners and provide up-to-date statistics on actual attack data. Where can they get such data?<br />
<br />
Imperva’s HII analyzes hacker attack data on a regular, detailed basis and helps answer: What are the most commonly exploited vulnerabilities? What are the trending topics hackers are discussing? Where should practitioners focus their Web security controls? The talk will discuss each of these questions separately and provide data collected from:<br />
* Honey pots which track and record live attack traffic.<br />
* Monitored discussions on hacker forums.<br />
* Analyses of hacker technologies and innovations.<br />
<br><br />
<br />
=== Andreas Kurtz — Sicherheit mobiler Apps ===<br />
Apples Mobilgeräte, wie das iPhone und das iPad, erfreuen sich nicht nur im Consumer-Bereich immer größerer Beliebtheit, sondern erhalten auch mehr und mehr Einzug in Unternehmen. Aufgrund des mittlerweile hohen Verbreitungsgrads von iPhones und iPads, sowie der Sensitivität, der auf diesen Geräten verarbeiteten Daten, ergeben sich hohe Sicherheitsanforderungen an das iOS Betriebssystem sowie die betriebenen Apps.<br />
<br />
Während sich Sicherheitsüberlegungen in der Vergangenheit dabei meist auf die Integration und Pflege der mobilen Endgeräte in der Unternehmensinfrastruktur beschränkten, wurde die Sicherheit der darauf betriebenen Apps zuweilen meist vernachlässigt.<br />
<br />
Im Rahmen dieses Vortrags werden zahlreiche Sicherheits- und Datenschutzprobleme mobiler Apps am Beispiel von Apples iOS demonstriert. Anhand einiger identifizierter Schwachstellen in weit-verbreiteten und populären Apps, werden häufige Programmier- und Designfehler erläutert, die immer wieder zu gravierenden Schwachstellen in mobilen Apps führen.<br />
<br />
In diesem Zusammenhang wird auch das „OWASP Mobile Security Project“ vorgestellt und die Erfahrungen aus zahlreichen Sicherheitsüberprüfungen mobiler Apps mit dem aktuellen Entwurf der „OWASP Top 10 Mobile Risks“ abgeglichen.<br />
<br />
<br><br />
<br />
=== [[User:knoblochmartin|Martin Knobloch]] — OWASP Global Education Committee ===<br />
The OWASP Global Education Committee (GEC) has various new projects that are important and worth sharing:<br />
<br />
* '''OWASP Academy Portal'''<br />
:The OWASP Academy Portal will be the online Application Security training environment of OWASP. Powered and Sponsored by Hacking Labs and SecurityInnovations, the portal offers training material and training excercises.<br />
<br />
:To main groups will be addressed by the Academy Portal:<br />
: - Teachers, e.g. professors teaching about IT<br />
: - Students, e.g. all who want to learn about Application Security<br />
: The talk will show the goals, status and future plans of the AcademyPortal!<br />
<br />
* '''OWASP Training Events'''<br />
: As already familiar in relation to the OWASP AppSec conferences, the GEC is busy organizing OWASP Training Conferences, indepent to AppSec conferences.<br />
:This part will update the audience with the status and plans of the OWASP Training Events.<br />
<br />
<br><br />
<br />
=== Sebastian Lekies, Walter Tighzert — Client-Side Cross-Domain Requests im Webbrowser: Techniken, Policies und Sicherheitsprobleme ===<br />
Von Beginn an verändert sich das World Wide Web stetig. Um neue Anwendungen zu realisieren werden ständig neue Technologien entwickelt und in den Browser integriert. Cross-Domain Requests stellen eine dieser neuen Technologien dar. Mit Hilfe von Adobe Flash, Microsoft Silverlight oder dem in HTML5 integrierten Cross-Origin Resource Sharing (CORS) lassen sich trotz der "Same-Origin Policy" client-seitig HTTP-Anfragen erzeugen, die im Authorisierungskontextes des Benutzers ausgeführt werden. Prinzipiell ist es mit diesem Mechanismus möglich, private Daten zu stehlen oder geschützte Aktionen auszuführen. Um dies zu vermeiden, setzen all diese Technologien eine server-seitige Erlaubnis voraus. Hierzu muss der Server eine Policy bereitstellen in der vertrauenswürdige Domains gelistet sind. Bevor ein sogenannter Cross-Domain Request durchgeführt wird, lädt der Browser diese Policy herunter und überprüft, ob die anfragende Webseite für den Server vertrauenswürdig ist oder nicht. Falls ja, wird die Anfrage durchgeführt. Falls nein, verhindert der Browser den Request. Um mögliche Sicherheitsprobleme mit diesem Modell zu untersuchen, haben wir eine große Studie durchgeführt. Im Rahmen dieser Studie wurden 1.000.000 Internetseiten überprüft und deren Cross-Domain Policies ausgewertet. Insgesamt wurden hierbei zirka 83.00 Policies gefunden, von denen zirka 31.000 potentiell unsicher sind. Wiederum zirka die Hälfte dieser Webseiten (15.000) weisen deutliche Anzeichen darauf hin, dass private Daten durch Cross-Domain Requests gestohlen werden könnten. Im weiteren Verlauf wird vorgestellt, welche Webseiten besonders unsicher sind und wie Cross-Domain Policies sicher eingesetzt werden können. Zusätzlich wird eine Firefox Extension vorgestellt, die in der Lage ist potentiell schädliche Requests zu entschärfen, indem Session Cookies von maliziösen Requests abgeschnitten werden. Ein Nutzer kann sich somit vor unsicheren Policies schützen, ohne die Anwendungslogik legitimer Anwendungen zu stören.<br />
<br />
<br><br />
<br />
=== Thomas Biege — No reason to be SAD? The Integration of a Secure Development Life Cyle in OSS Enterprise Web Applications ===<br />
Secure software is the Achilles' heel of todays IT infrastructure, especially in a open-source world were development cycles are short, budgets are small and competitors did not sleep.To cut our costs and decrease the Total Cost Of Ownership for our products we attacked the most expensive bugs, security bugs, by integrating a simple Secure Development Life-Cycle, called SAD, into the agile development processes of our enterprise web-applications. The process itself is an assemble of different industry-standard approaches plus a good dose of common sense due to lessons learned during my work. The tools and resources used were open-source (i.e. from OWASP) and often self-written to fill the gaps of the FOSS world. During the session you will see how we saved us and our customers several thousands Euros and released a product with solid security properties.<br />
<br />
<br><br />
<br />
=== Hans-Joachim Knobloch, [[User:Kai_Jendrian|Kai Jendrian]] — Web-Services-Security - Reicht der REST? ===<br />
Derzeit gibt es zwei verbreitete Ansätze für Web-Services: SOAP und REST. RESTful Web-Services können sich zunächst "nur" auf die Sicherheitsfunktionen von SSL/TLS und HTTP abstützen. Rund um SOAP gibt es dagegen eine elaborierte WS-Security Architektur. Daher scheint aus Sicherheitsgesichtspunkten zunächst SOAP gegenüber REST im Vorteil. Dennoch geht der Trend in der Praxis zur Nutzung von RESTful WebServices.<br />
<br />
Es wird ein kurzer Überblick über die beiden Ansätze und über die Sicherheitsmechanismen im SOAP-Umfeld (WS-Security, WS-SecureConversation, WS-Federation, WS-Authorization, WS-Policy, WS-Trust, WS-Privacy) gegeben. Deren Funktionalitäten müssen für RESTful WebServices bei Bedarf per SSL/TLS und/oder durch explizite Programmierung auf Anwendungsebene ersetzt werden.<br />
<br />
Trotz der Vielzahl an sicherheitsbezogenen, teilweise noch in Bearbeitung befindlicher Spezifikationen im SAOP-Umfeld reichen diese jedoch aus unserer Ansicht nach ebenfalls nicht aus, um Sicherheitsanforderungen aus der Praxis vollständig abzudecken. So fehlt beispielsweise ein Bandbreitenmanagement als Schutz gegen Überlastung. Auch steht momentan kein etablierter, allgemein nutzbarer Federated Identity Management Dienst zur Verfügung.<br />
<br />
Umgekehrt sind viele SOAP-Sicherheitsmechanismen - zumindest momentan noch - eher wenig praxisrelevant: Die WS-Security-Architektur ist für die beliebige Verknüpfung von Webdiensten in einer völlig offenen Landschaft gedacht. Dies kommt dem Problem gleich, durch Rufen auf einem belebten Marktplatz eine Skatrunde aus völlig Fremden zusammen zu stellen und miteinander eine Partie zu spielen.<br />
<br />
In der Praxis dominieren derzeit jedoch andere Anwendungsszenarien, bei denen die Grenzen zwischen Vertrauensbereichen (Trust Domains) wesentlich einfacher verlaufen als in einer völlig offenen Landschaft, nämlich interne Verknüpfung von Anwendungen, bilateraler Datenaustausch mit Partnern und geschlossene Benutzergruppen (CUG). Innerhalb einer Trust Domain kann ein WebService sich dann häufig darauf abstützen, dass die aufrufende Anwendung bereits grundlegende Sicherheitsfunktionen wie die Authentifikation und Autorisierung des dahinter stehenden Anwenders erbringt. D. h. der aufgerufene WebService muss diese nicht - wie in einer offenen Landschaft - zwingend selbst gewährleisten.<br />
<br />
Für die drei genannten Anwendungsszenarien reichen daher auch die Sicherheitsmechanismen aus, die RESTful WebServices zur Verfügung stehen, d. h. besonders SSL/TLS mit Client-Authentifkation, ergänzt um Maßnahmen zum Schutz der Verfügbarkeit gegen Überlastung (die auch in WS-Security so nicht enthalten sind) sowie bei Bedarf Maßnahmen auf Anwendungsebene wie bspw. XMLDsig oder andere Signaturen der übergebenen Daten. Besonders wichtig ist eine genaue Überprüfung der Daten und die Prüfung der Autorisierung an Übergabepunkten zwischen Trust Domains. Auf organisatorischer Seite kommen dazu noch SLAs oder andere rechtlich bindende Vereinbarungen mit Partnern und CUG-Mitgliedern.<br />
<br />
Daraus ergibt sich für uns als Antwort auf die Frage im Titel: Für die Mehrzahl der heutigen WebService-Anwendungsszenarien werden Sicherheitsfunktionen der WS-Security-Architektur von SOAP nicht unbedingt benötigt; die für REST nutzbaren Mittel reichen aus. Getreu dem Motto: Lieber erst einmal das Einfache richtig machen, anstatt sich beim potentiell Perfekten zu verheddern.<br />
<br />
<br><br />
<br />
=== Markus Wagner — Secure SDLC für die Masse dank OpenSAMM? ===<br />
Mit der Grundaussage „(Web-)Anwendungssicherheit kann nicht durch eine Einzelaktion erreicht werden“ wird bereits seit Jahren (erfolgreich?) versucht das Sicherheitsbewusstsein von Anwendungsentwickler und Sicherheitsverantwortlichen zu erhöhen und das Thema Security als essentielle Komponente eines Softwareentwicklungsprozesses zu verstehen. Um dies möglichst effizient zu gestalten und Unterstützung bei der Einführung eines secure Software Development Life Cycle (SSDLC) zu bieten, wurden bereits vor einigen Jahren Verfahren und Modelle erarbeitet.<br />
<br />
Dieser Vortrag soll daher einen kurzen Vergleich des OWASP-eigenen Projekts OpenSAMM mit den bekanntesten Vertretern BSIMM und Microsoft SDL bieten.<br />
<br />
Der Schwerpunkt liegt allerdings auf Erfahrungsberichten aus dem täglichen Einsatz von OpenSAMM in Unternehmen. Positive Erkenntnisse, aber auch fehlende Aspekte sollen dabei von der ersten Analyse, über die Etablierung bis hin zum Regelbetrieb veranschaulicht werden.<br />
<br><br />
<br />
=== Amir Alsbish — IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten ===<br />
Wie in anderen Bereichen, weicht die Theorie auch im Bereich der Informationssicherheit von der Wirklichkeit ab. In dieser Präsentation werden auf Probleme eingegangen, die sich für die Verantwortlichen für die Informationssicherheit in Unternehmen ergeben. Am Beispiel von interner und externer Softwareentwicklung in Projekten, soll gezeigt werden, wie die Sicherheit durch die Kombination von Personen, Prozessen, Verträgen und Technologie auf pragmatischem Werg erhöht werden kann. Dabei werden konkrete Erfahrungen und Beispiele zu unterschiedlichsten Themen aufgezeigt. Insbesondere sollen dabei kostenfreie Blueprints z.B. aus diversen OWASP Projekten, Tools wie das SDL Threat Modeling Tool, oder Hardening Vorgaben wie beispielsweise den CIS Vorgaben angesprochen werden, mit denen positive Erfahrungen gesammelt wurden. Weiterhin soll gezeigt werden, welchen Mehrwert Checklisten für Unternehmen darstellen, auch wenn diese von vielen Unternehmen abgelehnt werden. Abschließend soll auf einen Ansatz eingegangen werden, mit denen fehlendes Budget ausgeglichen werden kann.<br />
<br />
<br><br />
<br />
=== Juraj Somorovsky — How To Break XML Signature and XML Encryption ===<br />
Extensible Markup Language (XML) is a syntax for serialization of tree-shaped data structures. This standard is used for data storage, data transmission or in Web Services. It is employed in a large number of major web- based applications, ranging from business communications, e-commerce, cloud computing, and financial services over healthcare applications to governmental and military infrastructures. In order to secure sensitive XML data, the W3C standardization group has specified application of cryptographic primitives in XML documents. The resulted standards have become XML Signature and XML Encryption. They allow to ensure basic security properties -- integrity, authenticity, and confidentiality -- of arbitrary XML data. In this work, we present two practical attacks on XML-based SOAP Web Services interfaces breaking these security properties in the exchanged XML documents.<br />
<br />
First, we present XML Signature wrapping attacks. Using these techniques, the attacker who is in possession of a validly signed SOAP message can execute arbitrary functions on the Web Service interface on behalf of the message signer. We demonstrate practical impacts of this attack by its application on Web Service interfaces of two major cloud systems: Amazon and Eucalyptus.<br />
<br />
Second, we describe a practical attack on XML Encryption, which allows to decrypt a ciphertext by sending related ciphertexts to a Web Service and evaluating the server response. We show that an adversary can decrypt a ciphertext by performing only 14 requests per plaintext byte on average. This poses a serious and truly practical security threat on all currently used implementations of XML Encryption. <br />
<br />
=== ''Invited Talk'': Thomas Roessler (W3C) — Von Webseiten zu verteilten Cloud-Anwendungen: Entwicklungen in der Web-Sicherheit ===<br />
HTML5 verändert die Landschaft, in der Webapplikationen entwickelt werden. Das Web wird zu einer Infrastruktur, mit deren Hilfe interaktive Cloud-Applikationen mit komplexen, verteilten und abhängigen browserseitigen Komponenten entwickelt werden. Als Konsequenz verschieben sich unsere Konzepte von Web-Sicherheit und die Rollen, die Webserver und Browser in diesen Konzepten spielen.<br />
Der Vortrag wird einen Überblick aktueller und kommender Technologien im Web liefern und eine Vorschau auf neue Sicherheits-Technologien wie Content Security Policy bieten.<br />
<br />
<br />
==== CfP ====<br />
<br />
=== CfP und Speaker Agreement ===<br />
<br />
'''Der CfP ist geschlossen''' <br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zum vierten Mal eine deutsche OWASP-Konferenz aus: den 4. German OWASP Day. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum. Die Konferenzsprache ist Deutsch, Vorträge in Englisch sind auch willkommen. Der OWASP German Day 2011 ist eine klassische technologieorientierte Security-Konferenz, die Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bietet. Auch fachübergreifende, nicht-technische Themen sind <br />
willkommen, bitte keine Marketingvorträge.<br />
<br />
== Einreichungen von Vorträgen ==<br />
<br />
Für Vortragsvorschläge bitten wir um eine Kurzzusammenfassung oder eine Vorabversion des Vortrags. Die Zusammenfassung sollte nicht weniger als 500 (maximal: 4000) Zeichen lang sein, damit das Programmkomitee eine gute Entscheidungsgrundlage hat. (Bitte auf Orthographie achten, da die Zusammenfassung so wie sie ist ggf. im Programm erscheint). Die gilt ebenso für die obligatorische Kurzbiographie (150-800 Zeichen). Präsentationen können 25 oder 40 Minuten dauern (exklusive 5 Minuten Diskussion), bitte Wunschlänge vermerken. <br />
<br />
Erwünscht sind alle Themen mit Bezug zu Webapplikationssicherheit und OWASP, insbesondere: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungs-Frameworks und Best Practices <br />
*Sichere Webanwendungen in der Cloud <br />
*Secure Development Lifecycle <br />
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security-Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken <br />
*Datenschutz bei Webanwendungen<br />
<br />
Abhängig von der Anzahl eingehender Vorträge bieten wir ein oder zwei Tracks an. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Folien der Vorträge werden unter der freien [[OWASP Licenses#Licensing_of_OWASP_Website_Content|OWASP Lizenz]] auf der Konferenzwebseite veröffentlicht. Daher muss bei Annahme des Beitrags durch das Programmkomitee das [[Speaker Agreement|OWASP Speaker Agreement]] ohne Änderung akzeptiert und unterschrieben werden. Das Speaker Agreements sieht vor, dass die Standardfoliensätze von OWASP verwendet werden ([[Media:OWASP_Presentation_template.ppt|PPT]], [[Media:OWASP_Presentation_template.pptx|PPTX]], [[Media:OWASP_Presentation_template.odp|ODF/OpenOffice]]). <br />
<br />
Kosten (für Reise und Unterkunft) können wir leider nicht übernehmen. <br />
<br />
'''Alle Teilnehmer sowie Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 16.11.2011.''' <br />
<br />
== Programmkomitee ==<br />
<br />
*Bruce Sams <br />
*Martin Johns <br />
*Kai Jendrian <br />
*Boris Hemkemeier <br />
*[[User:Dirk_Wetter|Dirk Wetter]] (koordinierend)<br />
<br />
<br> <br />
<br />
== Termine ==<br />
<br />
*Einreichungen bis '''09.09.2011''' ausschließlich online über https://www.easychair.org/conferences/?conf=owaspger11 . <br />
*Bitte geben sie alle vortragsrelevanten Informationen an (siehe Call for Presentations oben): Abstract, Bio, Länge, ggf. Foliensätze <br />
*Benachrichtigung der Vortragenden: 16.09.2011 <br />
*Programm online: 20.9.2011<br />
*Einreichung der Foliensätze (prefinal): 20.10.2011 <br />
*Konferenz: 17.11.2011<br />
<br />
<br />
==== Eintrittspreise ====<br />
=== Eintrittspreise ===<br />
<br />
Für den 4. OWASP German Day 2011 gelten die folgenden Preise: <br />
<br />
*<s>normaler Teilnehmer (Early Bird) = 219,00 EUR + gesetzl. MwSt (*) </s><br />
*normaler Teilnehmer = 279,00 EUR + gesetzl. MwSt = 332,01 EUR<br />
*<s>OWASP-Mitglied (Early Bird) = 189,00 EUR + gesetzl. MwSt (*) </s><br />
*OWASP-Mitglied = 219,00 EUR + gesetzl. MwSt = 260,61 EUR<br />
*Studenten = 59 EUR + gesetzl. MwSt = 70,21 EUR (**)<br />
<br />
(*) Eine Registrierung zu Early-Bird-Preisen war bis zum 9.10.2011 möglich <br />
<br />
(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen. <br />
<br />
<br> <br />
<br />
==== Anmeldung ====<br />
=== Anmeldung ===<br />
<br />
Bitte melden Sie sich für die Konferenz und die Vorabendveranstaltung auf der [https://www.optimabit.com/owasp/ Anmeldungseite] an. <!--<br />
==== Vorabendveranstaltung ====<br />
=== Vorabendveranstaltung ===<br />
TBD<br />
<br />
<br />
<br />
==== Anreise ====<br />
=== Anreise ===<br />
TBD<br />
<br />
--> <br />
<br />
==== Infos für Sponsoren ====<br />
=== Infos für Sponsoren ===<br />
<br />
Als Sponsor des German OWASP Day 2011 setzen Sie ein klares Zeichen: Sie unterstützen ''den'' deutschen Branchentreffpunkt im Bereich Web Application Security und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet. <br />
<br />
Dieses Jahr findet die deutsche OWASP-Konferenz in München statt. Im Rahmen einer konferenzbegleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Wir erwarten zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- und Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des “Gold-, Silber oder Bronze-Sponsorings” (Logo- oder Roll-Up). Ihr Logo mit Link ist in jedem Fall bei uns auf der Landing Page. <br />
<br />
Mehr Infos zum Sponsoring sind [[Media:OWASP_D_2011_SponsorenInfo_GHE_2011_06_11_version1_0x.pdf|diesem PDF]] zu entnehmen. <br />
<br />
Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und [https://www.owasp.org/index.php/About_OWASP#Tax_Status:_501.28c.29.283.29_Not-For-Profit_Organization gemeinnützigen] OWASP Foundation (501c3 Not-For-Profit). <br />
<br />
==== Kontakt ====<br />
=== Kontakt ===<br />
<br />
[mailto:orga2011@owasp.de orga2011@owasp.de] <br />
<br />
==== Medienpartner ====<br />
=== Medienpartner ===<br />
<br />
{| style="background: white repeat scroll 0% 0%;width:99%"<br />
|-<br />
|[[Image:Hakin9 logo.gif|left|link=http://de.hakin9.org/|de.hakin9.org]] <br />
|[[Image:it-grundschutz_logo.png|left|link=http://www.grundschutz.info/|www.grundschutz.info]] <br />
|[[Image:KES_Logo.png|left|150x75px|link=http://www.kes.info/|www.kes.info]]<br />
|}<br />
<br> <br />
<br />
==== English (CfP et al) ====<br />
<br />
== Welcome ==<br />
<br />
The German section of the Open Web Application Security Project (OWASP) announces for the fourth OWASP German Day. The conference takes place on November 17, 2011 in Munich. The German OWASP Day is primarily oriented towards a German speaking audience but also presentations in English are welcome. The 4th OWASP German Day in 2011 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications. No marketing talks please.<br />
<br />
== Conference Sponsors ==<br />
<br />
{| cellspacing="5" cellpadding="2" border="0" align="left" style="width:99%;margin-bottom:1em;"<br />
|-<br />
! align="left" style="border-bottom:1px solid black;min-width:10em" colspan="3" | Platin <br />
|-<br />
| [[Image:Riverbed.jpg|left|link=http://www.riverbed.com/|www.riverbed.com]] <br />
|-<br />
! align="left" style="border-bottom:1px solid black;min-width:10em" | Gold <br />
! align="left" style="border-bottom:1px solid black;min-width:10em" | Silber <br />
! align="left" style="border-bottom:1px solid black;min-width:10em" | Bronze<br />
|-<br />
| <br />
[[Image:Optimabit logo 692.33p.jpg|left|228x51px|link=http://www.optimabit.com/|www.optimabit.com]] <br> [[Image:Schutzwerk-300x29.png|left|link=http://www.schutzwerk.com/|www.schutzwerk.de]] [[Image:SecureNet-Logo-240x56.png|left|link=http://www.securenet.de/|www.securenet.de]] [[Image:Trustwave_logo.jpg|left|233x40px|link=https://www.trustwave.com/|www.trustwave.com]] [[Image:Sonicwall.png|left|link=https://www.sonicwall.com/|www.sonicwall.com]] [[Image:Cancom.jpg|left|link=http://www.cancom.de/|www.cancom.de]] [[Image:Imperva_250x34.jpg|left|link=https://www.imperva.de/|www.imperva.de]]<br />
<br />
| <br />
[[Image:Gemalto brand fullcol web.png|left|link=http://gemalto.com/financial/ebanking/index.html|gemalto.com]]<br> <br />
[[IMage:Airlock_ergon.png|left|152x55px|link=http://www.airlock.ch|www.airlock.ch]]<br><br />
<br />
| <br />
[[Image:Telecons.kl.jpg|left|link=http://www.tele-consulting.com/|www.tele-consulting.com]]<br> [[Image:Sicsec-130x39.png|left|link=http://sicsec.de/|www.sicsec.de]] <br> [[Image:Astaro_sophos.png|left|link=http://www.astaro.com|www.astaro.com]]<br />
<br />
<br />
|}<br />
<br />
== When ==<br />
<br />
*Pre-event Dinner: Wendsday, 16'th November 2011 <br />
*Conference: Donnerstag, den 17'th November 2011<br />
<br />
== Venue ==<br />
<br />
The conference will be located at [http://maps.google.de/maps?f=q&source=s_q&hl=en&geocode=&q=nh+muenchen+dornach+Einsteinring&aq=&g=Einsteinring+20,+85609+Munich&ie=UTF8&hq=nh&hnear=Einsteinring,+Dornach+85609+Aschheim,+M%C3%BCnchen,+Bayern&ll=48.147019,11.714859&spn=0.048105,0.13175&z=14 NH-Hotel München Dornach] . <br />
<br />
== Pre-event Dinner ==<br />
* when: Wendsday, 16'th November 2011 <br />
* where: Augustiner Bräustuben, Landsberger Str. 19, 80339 München<br />
[http://maps.google.de/maps?q=LANDSBERGER+STRASSE+19+80339+M%C3%9CNCHEN&hq=&hnear=0x479e7601b699ffd5:0x4be4ced9008a615b,Landsberger+Stra%C3%9Fe+19,+D-80339+M%C3%BCnchen&gl=de&ei=12GhTpmxPMTusga_h73pAg&sa=X&oi=geocode_result&ct=image&resnum=1&ved=0CB0Q8gEwAA Map und Streetview]<br />
* S-Bahn [http://efa.mvv-muenchen.de/mvv/XSLT_TRIP_REQUEST2?language=en Journey Planner]: from Hauptbahnhof S1, S2, S3, S4, S6, S7, S8 to Hackerbrücke, 5 minutes walk <br />
<br />
== Organisation ==<br />
<br />
*Birgit Bernskötter (Extern) <br />
*Georg Hess (Chapter Leader) <br />
*Bruce Sams (Board Member) <br />
*Tobias Glemser (Board Member) <br />
*Achim Hoffmann (Board Member) <br />
*Ulrike Petersen (Board Member)<br />
<br />
<br> <br />
<br />
== Call for Presentations / Speaker Agreement ==<br />
<br />
'''CfP is closed.''' <br />
<br />
To submit a proposal, please submit online an abstract of the presentation (500 to 4000 chararters) and a brief biography (150 to 800 characters). Please also state the desired length: 25 or 40 minutes (excl. 5 minutes for discussion). You can also attach a preliminary version of your presentation. (Please watch out for mistakes as we take your abstract and publish this 1:1 into our program).<br />
<br />
We are interested in all topics related to Web Application Security and OWASP, in particular: <br />
<br />
*Technical presentations related to operations <br />
*Frameworks and best practices for secure development <br />
*Cloud Security <br />
*Privacy in Web Applications <br />
*Secure Development Lifecycle <br />
*Metrics for application security <br />
*Security awareness programs for developers, testers, architects and project owners <br />
*Security management for applications in the corporate environment <br />
*Application security for Outsourcing and Offshoring projekts <br />
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc. <br />
*OWASP in your workplace, university, etc.<br />
<br />
Depending on the number of submissions we will offer either one or two tracks. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license. Therefore all speakers must accept and sign the [[Speaker Agreement|OWASP Speaker Agreement]] without changes prior to the conference. It requires that you use one of the following templates: [[Media:OWASP_Presentation_template.ppt|PPT]], [[Media:OWASP_Presentation_template.pptx|PPTX]], [[Media:OWASP_Presentation_template.odp|ODF/OpenOffice]]. <br />
<br />
Unfortunately we can't cover any travel expenses or costs for accomodations. <br />
<br />
'''Participants and speakers are all warmly invited to attend the evening program on the 16th of November 2011. ''' <br />
<br />
<br> <br />
<br />
=== Program Committee ===<br />
<br />
*Bruce Sams <br />
*Martin Johns <br />
*Kai Jendrian <br />
*Boris Hemkemeier <br />
*Dirk Wetter<br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submissions no later than September 9, 2011''' only online via [https://www.easychair.org/conferences/?conf=owaspger11 Easychair]. <br />
*Please read and follow the requirements above: Abstract, bio, length and maybe slides! <br />
*Notification of acceptance by September 16, 2011 <br />
*Program to be online: September 20, 2011 <br />
*Prefinal submission of the slides by October 20, 2011 <br />
*Conference: November 17, 2011<br />
<br />
<br> <br />
<br />
== Registration Fees ==<br />
<br />
*Non-Member = 279,00 EUR + 19% VAT<br />
*<s>Non-Member (Early Bird) = 219,00 EUR + 19% VAT (*) </s><br />
*OWASP Member = 219,00 EUR + 19% VAT <br />
*<s>OWASP Member (Early Bird) = 189,00 EUR + 19% VAT (*) </s><br />
*Students = 59 EUR + 19% VAT (**)<br />
<br />
(*) Early-Bird registration was open 'til 10.10.2011 <br />
<br />
(**) Proper proof of student status is required on site.<br />
<br />
== Registration ==<br />
<br />
Registration is open, please visit [https://www.optimabit.com/owasp/ 4. German OWASP Day Registration ]. <br />
<br />
== Contact ==<br />
<br />
[mailto:orga2011@owasp.de orga2011@owasp.de] <br />
<br />
<br> <headertabs /><br />
[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] <br />
<!-- this will sort under capital O<br />
[[Category:OWASP_AppSec_Conference|OWASP Day Germany 2011]]<br />
--></div>Sebastian Schinzelhttps://wiki.owasp.org/index.php?title=User:Sebastian_Schinzel&diff=118918User:Sebastian Schinzel2011-10-12T08:01:29Z<p>Sebastian Schinzel: </p>
<hr />
<div>[http://www.sebastian-schinzel.de/ Private Homepage]<br />
<br />
[https://twitter.com/seecurity Twitter]<br />
<br />
[https://www.xing.com/profile/Sebastian_Schinzel Xing Profile]<br />
<br />
[http://www.linkedin.com/in/abapsecurity LinkedIn Profile]<br />
<br />
[http://www.amazon.de/-/e/B004OWXVWY Amazon Author Profile]</div>Sebastian Schinzelhttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2010_Conference&diff=108536OWASP AppSec Germany 2010 Conference2011-04-10T13:27:51Z<p>Sebastian Schinzel: </p>
<hr />
<div>__NOTOC__ <!--<br />
{| cellpadding="20" cellspacing="0" border="1" width="100%" align="center" | <br />
| Die Präsentationen stehen zum [[#Die Vorträge im Einzelnen|Download]] zur Verfügung.<br />
|}<br />
--> <br />
<br />
[[Image:Appsec germany 2010.png|center]]<br> <br />
<center style="font-size: 150%;">Die führende deutsche Konferenz zur Web Application Security in Nürnberg.<br><br>[https://owasp.artofdefence.com Melden] Sie sich noch heute an.</center><br />
<br />
<br />
<br> <br />
<br />
==== OWASP AppSec Germany 2010 ====<br />
<br />
[[Image:Appsec germany 2010.png|right|190x71px]]<br> Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden. <br />
<center><br> </center> <br />
<br> <br />
<br />
== Sponsoren ==<br />
<br />
Wir danken unseren Sponsoren: <br />
<br />
{{Template:OWASP_Germany_2010_Sponsors}} <br />
<br />
<br> <br />
<br />
== Konferenzdaten ==<br />
<br />
Die Konferenz findet parallel zur it-sa (http://www.it-sa.de/) in Nürnberg statt. Als Teilnehmer der OWASP AppSec Germany 2010 haben Sie an allen Tagen freien Eintritt zur it-sa. Mit Ihrer Anmeldung erhalten Sie von uns die entsprechende eGastticket-Nummer, um sich auch dort zu registrieren. <br />
<br />
<br> <br />
<br />
=== Wo? ===<br />
<br />
CCN Ost CongressCenter <br />
<br />
Messezentrum <br />
<br />
90471 Nürnberg <br />
<br />
<br> <br />
<br />
=== Wann? ===<br />
<br />
Vorabendveranstaltung: 19.10.2010 <br />
<br />
Konferenz: 20.10.2010 <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== Organisation ==<br />
<br />
*Georg Hess (Chapter Leader Germany) <br />
*Boris Hemkemeier (Board Member) <br />
*Tobias Glemser (Board Member) <br />
*Bruce Sams (Board Member) <br />
*Achim Hoffmann (Board Member) <br />
*Ulrike Petersen (Board Member) <br />
*Kai Jendrian (Program Committee) <br />
*Martin Johns (Program Committee) <br />
*Dirk Wetter (Program Committee)<br />
<br />
'''Looking forward to see you in Nuremberg!''' <br />
<br />
<br> <br />
<br />
==== Agenda / Presentations ====<br />
<br />
Die Agenda für die OWASP AppSec Germany 2010: <br />
<br />
== Agenda ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | '''20. Oktober 2010''' <br />
<br> <br />
<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | <br> <br />
| style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 - Raum 1 <br />
| style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2 - Raum 2<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:00 - 9:15 <br />
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | Begrüßung<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:15 - 10:15 <br />
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | Keynote -- ''Sebastian Klipper'' <br> Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 10:15 - 11:00 <br />
| align="center" colspan="3" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" | ''Tom Brennan'' <br> [http://www.owasp.org/images/9/97/Brennan-Keynote.pdf Current State of OWASP Adoption]<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:00 - 11:30 <br />
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:00 <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Der OWASP ASVS Standard, <br> ''Matthias Rohr'' <br> <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | XML-Security - Brief introduction in the use of web service In B2B environments and backend integration, <br> ''Sascha Herzog'' <!-- <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques?, <br> ''Martin Johns''<br />
--><br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:00 - 12:30 <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Developing Secure Applications with OWASP, <br> ''Martin Knobloch'' <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Seitenkanalschwachstellen im Web erkennen und verhindern, <br> ''[https://www.owasp.org/index.php/User:Sebastian_Schinzel Sebastian Schinzel]''<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:30 - 14:00 <br />
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 14:30 <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | OWASP Top 10, die Vierte: Was t/nun? ''<br>Dr. Dirk Wetter'' <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Härtung von SAP HTTP- und Webservices, <br> ''Frederik Weidemann''<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:30 - 15:00 <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes, <br> ''Dr. Ingo Hanke'' und ''Daniel Bartschies'' <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | WATOBO - Web Application Toolbox, <br> ''Andreas Schmidt'' <br><br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:00 - 15:30 <br />
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:30 - 16:30 <br />
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud), ''Alexander Meisel'' <br />
<br> (Und Abschlussworte) <br />
<br />
|}<br />
<br />
<br> <br />
<br />
== Slides der Vorträge ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 <br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2<br />
|-<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="2" | [[Media:AppSec2010-Keynote.pdf|Keynote]]<br />
|-<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" colspan="2" | [[Media:AppSecGermany210-Brennan-Keynote.pdf|Current State of OWASP Adoption]]<br />
|-<br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | [[Media:OWASP-ASVS-Standard.pdf|OWASP ASVS-Standard]] <br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | [[Media:XML_Exteral_Entity_Attack.pdf|XML Exteral Entity Attack (XEE)]]<br />
|-<br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | [[Media:Developing_Secure_Applications_with_OWASP.pdf|Developing Secure Applications with OWASP]] <br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | [[Media:Side_Channel_Vulnerabilities.pdf|Seitenkanalschwachstellen im Web erkennen und verhindern]]<br />
|-<br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | [[Media:OWASP_T10-Was-tnun.pdf|OWASP Top 10, die Vierte: Was t/nun?]] <br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | [[Media:Hardening_SAP.pdf|Härtung von SAP HTTP- und Webservices]]<br />
|-<br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | [[Media:Datenschutz-Top10.pdf|Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes]] <br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | [[Media:WATOBO.pdf|Web Application Toolbox]]<br />
|-<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" colspan="2" | [[Media:OWASP-Germany-AppSec2010.pdf|distributed Web Application Firewall (dWAF)]]<br />
|}<br />
<br />
== Details zu den Vorträgen ==<br />
<br />
=== ''Keynote:'' Sebastian Klipper — Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 ===<br />
<br />
Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 <br />
<br />
Unterschiedliche Akteure in Unternehmen und Behörden erleben unterschiedliche Realitäten. Bei Sicherheitsmaßnahmen sind die Abweichungen zwischen Mitarbeitern, Chefs und Fachleuten besonders groß. <br />
<br />
Fehlt die Kompetenz '''auf''' oder fehlt sie '''für''' OSI-Layer 8? <br />
<br />
=== [http://www.owasp.org/index.php/User:Brennan Tom Brennan] — Current State of Application Security Adoption ===<br />
<br />
(Englischer Vortrag): Web application security is critically important - today 75% of attacks are clearly targeting your web applications. In this rapidly evolving landscape professionals - developers, IT, management and information security - all have an important part in web application security. <br />
<br />
Founded in 2001, Tom Brennan will provide a review, refresh and update about the OWASP Foundation including the who, what and how we can help. <br />
<br />
<br> <br />
<br />
=== Matthias Rohr — Der OWASP ASVS-Standard ===<br />
<br />
In diesem Vortrag soll der OWASP ASVS-Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden. <br />
<br />
Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung. <br />
<br />
<br> <br />
<br />
=== Sascha Herzog — XML-Security - Brief introduction in the use of web service In B2B environments and backend integration ===<br />
<br />
*Brief introduction into XML, DTD and XML Schema <br />
*Show attacks against XML generators and XML parsers. <br />
*Presents how the xerces parsers can be hardened to prevent of attacks <br />
*I will talk about XEE xml external entity attacks and flavors of it <br />
*You will get an idea of XML DoS attacks <br />
*Free Hands-on labs include excercises for... <br />
*XML Injection <br />
*XML URL enumeration <br />
*XML directore traversal <br />
*XML port scanning <br />
*All of&amp;apos;em are XXE<br />
<br />
<br> <!--<br />
=== Martin Johns — Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===<br />
<br />
Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research. <br />
<br />
This talk: <br />
<br />
*will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact, <br />
*set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research, <br />
*identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.<br />
<br />
Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7]. <br />
<br />
[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com <br />
[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html <br />
[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html <br />
[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html <br />
[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html <br />
[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/ <br />
[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database <br />
<br> <br />
--> <br />
<br />
=== Alexander Meisel — distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===<br />
<br />
Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen. <br />
<br />
Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt. <br />
<br />
Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann. <br />
<br />
<br> <br />
<br />
=== Martin Knobloch — Developing Secure Applications with OWASP ===<br />
<br />
After an introduction about OWASP, Martin will higlight the top projects of OWASP During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle. <br />
<br />
<br> <br />
<br />
=== Dr. Dirk Wetter — OWASP Top 10, die Vierte: Was t/nun? ===<br />
<br />
Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal. Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene. <br />
<br />
Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25. <br />
<br />
<br> <br />
<br />
=== [https://www.owasp.org/index.php/User:Sebastian_Schinzel Sebastian Schinzel] — Seitenkanalschwachstellen im Web erkennen und verhindern ===<br />
<br />
Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher? <br />
<br />
Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt. <br />
<br />
In diesem Vortrag zeigt [https://www.owasp.org/index.php/User:Sebastian_Schinzel Sebastian Schinzel] an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann. <br />
<br />
<br> <br />
<br />
=== Andreas Schmidt — WATOBO - Web Application Toolbox ===<br />
<br />
Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde. Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt. <br />
<br />
In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt. <br />
<br />
WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net). <br />
<br />
Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten. Abgerundet wird die Präsentation durch eine kurze Demonstration. <br />
<br />
<br> <br />
<br />
=== Frederik Weidemann — Härtung von SAP HTTP- und Web Services ===<br />
<br />
Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden? <br />
<br />
Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt <br />
<br />
*wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird <br />
*welche Rolle Web Application Firewalls und Reverse Proxies spielen<br />
<br />
Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen: <br />
<br />
*Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden? <br />
*Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …) <br />
*Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden. <br />
*Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf? <br />
*Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?<br />
<br />
Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt. <br />
<br />
*Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt? <br />
*Übersicht über SAPs Web Security Szenarios <br />
*Risiken bei der Entwicklung von eigenen HTTP Handlern <br />
*Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10<br />
<br />
<br> <br />
<br />
=== Dr. Ingo Hanke and Daniel Bartschies — Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===<br />
<br />
Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz. <br />
<br />
Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre. <br />
<br />
Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist. <br />
<br />
Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit. <br />
<br />
An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft. <br />
<br />
<br> <br />
<br />
==== &nbsp; Anmeldung ====<br />
<br />
Die Anmeldung zur OWASP ist nun online. <br />
<br />
== Preise ==<br />
<br />
Für die OWASP AppSec 2010 gelten die folgenden Preise: <br />
<br />
*normaler Teilnehmer = 229,00 EUR <br />
*OWASP-Mitglied = 169,00 EUR <br />
*Studenten, Beschäftigte von Universitäten, Behörden, öffentlicher Verwaltung etc = 39 EUR (**)<br />
<br />
(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen. <br />
<br />
== Anmeldeseite ==<br />
<br />
Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite: <br />
<br />
https://owasp.artofdefence.com/ <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
==== Vorabendveranstaltung ====<br />
<br />
Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz: <br />
<br />
&nbsp;&nbsp;&nbsp; 19:00 - 20:00 Uhr Empfang<br> &nbsp;&nbsp;&nbsp; Ab 20:00 Uhr Abendessen, Ende ca. 01:00 Uhr <br />
<br />
sie findet im Restaurant Barfüßer (http://www.barfuesser-nuernberg.de/) statt: <br />
<br />
&nbsp;&nbsp;&nbsp; Hallplatz 2<br> &nbsp;&nbsp;&nbsp; 90402 Nürnberg<br> &nbsp;&nbsp;&nbsp; Telefon 0911 20 42 42<br> <br />
<br />
In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen. <br />
<br />
<br> <br />
<br />
==== it-sa / OWASP Messestand ====<br />
<br />
[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West. <br />
<br />
Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen&nbsp;;) <br />
<br />
==== Anreise ====<br />
<br />
==== Infos für Sponsoren ====<br />
<br />
Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet. <br />
<br />
In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben. Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings” <br />
<br />
Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit). <br />
<br />
Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf <br />
<br />
==== Call for Papers - German Version ====<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
== Call for Presentations ==<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. <br />
<br />
Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungs-Frameworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security-Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.''' <br />
<br />
<br> <br />
<br />
== Program Committee ==<br />
<br />
*Bruce Sams <br />
*Martin Johns <br />
*Kai Jendrian <br />
*Boris Hemkemeier <br />
*Dirk Wetter<br />
<br />
<br> <br />
<br />
== Termine ==<br />
<br />
*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. <br />
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen. <br />
*Benachrichtigung der Vortragenden: 15.08.2009. <br />
*Einreichung der Foliensätze (prefinal): 01.10.2009 <br />
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010<br />
<br />
<br> <br />
<br />
==== Call for Papers - English Version ====<br />
<br />
The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications. <br />
<br />
<br> <br />
<br />
== Call for Presentations ==<br />
<br />
To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation. <br />
<br />
We are interested in all topics related to Web Application Security and OWASP, in particular: <br />
<br />
*Technical presentations related to operations <br />
*Frameworks and best practices for secure development <br />
*Secure Development Lifecycle <br />
*Security awareness programs for developers, testers, architects and project owners <br />
*Security management for applications in the corporate environment <br />
*Application security for Outsourcing and Offshoring projekts <br />
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc. <br />
*OWASP in your workplace, university, etc. <br />
*Metrics for application security<br />
<br />
Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference. <br />
<br />
We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers. <br />
<br />
'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. ''' <br />
<br />
<br> <br />
<br />
== Program Committee ==<br />
<br />
*Bruce Sams <br />
*Martin Johns <br />
*Kai Jendrian <br />
*Boris Hemkemeier <br />
*Dirk Wetter<br />
<br />
<br> <br />
<br />
== Dates ==<br />
<br />
*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes). <br />
*Notification of acceptance by 15 August 2010. <br />
*Prefinal submission of the slides by 01 October 2010 <br />
*Conference: October 20, 2010. Evening program on the 19th of October, 2010<br />
<br />
<br> <br />
<br />
==== Kontakt / Contact ====<br />
<br />
Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse: <br />
<br />
[mailto:ulrike.petersen@owasp.org ulrike.petersen@owasp.org] <br />
<br />
<headertabs /></div>Sebastian Schinzelhttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2010_Conference&diff=108535OWASP AppSec Germany 2010 Conference2011-04-10T13:26:33Z<p>Sebastian Schinzel: </p>
<hr />
<div>__NOTOC__ <!--<br />
{| cellpadding="20" cellspacing="0" border="1" width="100%" align="center" | <br />
| Die Präsentationen stehen zum [[#Die Vorträge im Einzelnen|Download]] zur Verfügung.<br />
|}<br />
--> <br />
<br />
[[Image:Appsec germany 2010.png|center]]<br> <br />
<center style="font-size: 150%;">Die führende deutsche Konferenz zur Web Application Security in Nürnberg.<br><br>[https://owasp.artofdefence.com Melden] Sie sich noch heute an.</center><br />
<br />
<br />
<br> <br />
<br />
==== OWASP AppSec Germany 2010 ====<br />
<br />
[[Image:Appsec germany 2010.png|right|190x71px]]<br> Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden. <br />
<center><br> </center> <br />
<br> <br />
<br />
== Sponsoren ==<br />
<br />
Wir danken unseren Sponsoren: <br />
<br />
{{Template:OWASP_Germany_2010_Sponsors}} <br />
<br />
<br> <br />
<br />
== Konferenzdaten ==<br />
<br />
Die Konferenz findet parallel zur it-sa (http://www.it-sa.de/) in Nürnberg statt. Als Teilnehmer der OWASP AppSec Germany 2010 haben Sie an allen Tagen freien Eintritt zur it-sa. Mit Ihrer Anmeldung erhalten Sie von uns die entsprechende eGastticket-Nummer, um sich auch dort zu registrieren. <br />
<br />
<br> <br />
<br />
=== Wo? ===<br />
<br />
CCN Ost CongressCenter <br />
<br />
Messezentrum <br />
<br />
90471 Nürnberg <br />
<br />
<br> <br />
<br />
=== Wann? ===<br />
<br />
Vorabendveranstaltung: 19.10.2010 <br />
<br />
Konferenz: 20.10.2010 <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== Organisation ==<br />
<br />
*Georg Hess (Chapter Leader Germany) <br />
*Boris Hemkemeier (Board Member) <br />
*Tobias Glemser (Board Member) <br />
*Bruce Sams (Board Member) <br />
*Achim Hoffmann (Board Member) <br />
*Ulrike Petersen (Board Member) <br />
*Kai Jendrian (Program Committee) <br />
*Martin Johns (Program Committee) <br />
*Dirk Wetter (Program Committee)<br />
<br />
'''Looking forward to see you in Nuremberg!''' <br />
<br />
<br> <br />
<br />
==== Agenda / Presentations ====<br />
<br />
Die Agenda für die OWASP AppSec Germany 2010: <br />
<br />
== Agenda ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | '''20. Oktober 2010''' <br />
<br> <br />
<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | <br> <br />
| style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 - Raum 1 <br />
| style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2 - Raum 2<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:00 - 9:15 <br />
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | Begrüßung<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:15 - 10:15 <br />
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | Keynote -- ''Sebastian Klipper'' <br> Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 10:15 - 11:00 <br />
| align="center" colspan="3" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" | ''Tom Brennan'' <br> [http://www.owasp.org/images/9/97/Brennan-Keynote.pdf Current State of OWASP Adoption]<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:00 - 11:30 <br />
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:00 <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Der OWASP ASVS Standard, <br> ''Matthias Rohr'' <br> <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | XML-Security - Brief introduction in the use of web service In B2B environments and backend integration, <br> ''Sascha Herzog'' <!-- <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques?, <br> ''Martin Johns''<br />
--><br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:00 - 12:30 <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Developing Secure Applications with OWASP, <br> ''Martin Knobloch'' <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Seitenkanalschwachstellen im Web erkennen und verhindern, <br> ''[https://www.owasp.org/index.php/User:Sebastian_Schinzel Sebastian Schinzel]''<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:30 - 14:00 <br />
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 14:30 <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | OWASP Top 10, die Vierte: Was t/nun? ''<br>Dr. Dirk Wetter'' <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Härtung von SAP HTTP- und Webservices, <br> ''Frederik Weidemann''<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:30 - 15:00 <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes, <br> ''Dr. Ingo Hanke'' und ''Daniel Bartschies'' <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | WATOBO - Web Application Toolbox, <br> ''Andreas Schmidt'' <br><br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:00 - 15:30 <br />
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:30 - 16:30 <br />
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud), ''Alexander Meisel'' <br />
<br> (Und Abschlussworte) <br />
<br />
|}<br />
<br />
<br> <br />
<br />
== Slides der Vorträge ==<br />
<br />
{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"<br />
|-<br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 <br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2<br />
|-<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="2" | [[Media:AppSec2010-Keynote.pdf|Keynote]]<br />
|-<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" colspan="2" | [[Media:AppSecGermany210-Brennan-Keynote.pdf|Current State of OWASP Adoption]]<br />
|-<br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | [[Media:OWASP-ASVS-Standard.pdf|OWASP ASVS-Standard]] <br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | [[Media:XML_Exteral_Entity_Attack.pdf|XML Exteral Entity Attack (XEE)]]<br />
|-<br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | [[Media:Developing_Secure_Applications_with_OWASP.pdf|Developing Secure Applications with OWASP]] <br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | [[Media:Side_Channel_Vulnerabilities.pdf|Seitenkanalschwachstellen im Web erkennen und verhindern]]<br />
|-<br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | [[Media:OWASP_T10-Was-tnun.pdf|OWASP Top 10, die Vierte: Was t/nun?]] <br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | [[Media:Hardening_SAP.pdf|Härtung von SAP HTTP- und Webservices]]<br />
|-<br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | [[Media:Datenschutz-Top10.pdf|Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes]] <br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | [[Media:WATOBO.pdf|Web Application Toolbox]]<br />
|-<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" colspan="2" | [[Media:OWASP-Germany-AppSec2010.pdf|distributed Web Application Firewall (dWAF)]]<br />
|}<br />
<br />
== Details zu den Vorträgen ==<br />
<br />
=== ''Keynote:'' Sebastian Klipper — Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 ===<br />
<br />
Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 <br />
<br />
Unterschiedliche Akteure in Unternehmen und Behörden erleben unterschiedliche Realitäten. Bei Sicherheitsmaßnahmen sind die Abweichungen zwischen Mitarbeitern, Chefs und Fachleuten besonders groß. <br />
<br />
Fehlt die Kompetenz '''auf''' oder fehlt sie '''für''' OSI-Layer 8? <br />
<br />
=== [http://www.owasp.org/index.php/User:Brennan Tom Brennan] — Current State of Application Security Adoption ===<br />
<br />
(Englischer Vortrag): Web application security is critically important - today 75% of attacks are clearly targeting your web applications. In this rapidly evolving landscape professionals - developers, IT, management and information security - all have an important part in web application security. <br />
<br />
Founded in 2001, Tom Brennan will provide a review, refresh and update about the OWASP Foundation including the who, what and how we can help. <br />
<br />
<br> <br />
<br />
=== Matthias Rohr — Der OWASP ASVS-Standard ===<br />
<br />
In diesem Vortrag soll der OWASP ASVS-Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden. <br />
<br />
Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung. <br />
<br />
<br> <br />
<br />
=== Sascha Herzog — XML-Security - Brief introduction in the use of web service In B2B environments and backend integration ===<br />
<br />
*Brief introduction into XML, DTD and XML Schema <br />
*Show attacks against XML generators and XML parsers. <br />
*Presents how the xerces parsers can be hardened to prevent of attacks <br />
*I will talk about XEE xml external entity attacks and flavors of it <br />
*You will get an idea of XML DoS attacks <br />
*Free Hands-on labs include excercises for... <br />
*XML Injection <br />
*XML URL enumeration <br />
*XML directore traversal <br />
*XML port scanning <br />
*All of&amp;apos;em are XXE<br />
<br />
<br> <!--<br />
=== Martin Johns — Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===<br />
<br />
Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research. <br />
<br />
This talk: <br />
<br />
*will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact, <br />
*set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research, <br />
*identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.<br />
<br />
Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7]. <br />
<br />
[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com <br />
[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html <br />
[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html <br />
[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html <br />
[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html <br />
[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/ <br />
[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database <br />
<br> <br />
--> <br />
<br />
=== Alexander Meisel — distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===<br />
<br />
Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen. <br />
<br />
Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt. <br />
<br />
Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann. <br />
<br />
<br> <br />
<br />
=== Martin Knobloch — Developing Secure Applications with OWASP ===<br />
<br />
After an introduction about OWASP, Martin will higlight the top projects of OWASP During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle. <br />
<br />
<br> <br />
<br />
=== Dr. Dirk Wetter — OWASP Top 10, die Vierte: Was t/nun? ===<br />
<br />
Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal. Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene. <br />
<br />
Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25. <br />
<br />
<br> <br />
<br />
=== Sebastian Schinzel — Seitenkanalschwachstellen im Web erkennen und verhindern ===<br />
<br />
Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher? <br />
<br />
Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt. <br />
<br />
In diesem Vortrag zeigt [https://www.owasp.org/index.php/User:Sebastian_Schinzel Sebastian Schinzel] an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann. <br />
<br />
<br> <br />
<br />
=== Andreas Schmidt — WATOBO - Web Application Toolbox ===<br />
<br />
Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde. Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt. <br />
<br />
In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt. <br />
<br />
WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net). <br />
<br />
Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten. Abgerundet wird die Präsentation durch eine kurze Demonstration. <br />
<br />
<br> <br />
<br />
=== Frederik Weidemann — Härtung von SAP HTTP- und Web Services ===<br />
<br />
Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden? <br />
<br />
Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt <br />
<br />
*wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird <br />
*welche Rolle Web Application Firewalls und Reverse Proxies spielen<br />
<br />
Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen: <br />
<br />
*Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden? <br />
*Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …) <br />
*Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden. <br />
*Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf? <br />
*Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?<br />
<br />
Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt. <br />
<br />
*Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt? <br />
*Übersicht über SAPs Web Security Szenarios <br />
*Risiken bei der Entwicklung von eigenen HTTP Handlern <br />
*Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10<br />
<br />
<br> <br />
<br />
=== Dr. Ingo Hanke and Daniel Bartschies — Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===<br />
<br />
Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz. <br />
<br />
Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre. <br />
<br />
Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist. <br />
<br />
Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit. <br />
<br />
An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft. <br />
<br />
<br> <br />
<br />
==== &nbsp; Anmeldung ====<br />
<br />
Die Anmeldung zur OWASP ist nun online. <br />
<br />
== Preise ==<br />
<br />
Für die OWASP AppSec 2010 gelten die folgenden Preise: <br />
<br />
*normaler Teilnehmer = 229,00 EUR <br />
*OWASP-Mitglied = 169,00 EUR <br />
*Studenten, Beschäftigte von Universitäten, Behörden, öffentlicher Verwaltung etc = 39 EUR (**)<br />
<br />
(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen. <br />
<br />
== Anmeldeseite ==<br />
<br />
Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite: <br />
<br />
https://owasp.artofdefence.com/ <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
==== Vorabendveranstaltung ====<br />
<br />
Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz: <br />
<br />
&nbsp;&nbsp;&nbsp; 19:00 - 20:00 Uhr Empfang<br> &nbsp;&nbsp;&nbsp; Ab 20:00 Uhr Abendessen, Ende ca. 01:00 Uhr <br />
<br />
sie findet im Restaurant Barfüßer (http://www.barfuesser-nuernberg.de/) statt: <br />
<br />
&nbsp;&nbsp;&nbsp; Hallplatz 2<br> &nbsp;&nbsp;&nbsp; 90402 Nürnberg<br> &nbsp;&nbsp;&nbsp; Telefon 0911 20 42 42<br> <br />
<br />
In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen. <br />
<br />
<br> <br />
<br />
==== it-sa / OWASP Messestand ====<br />
<br />
[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West. <br />
<br />
Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen&nbsp;;) <br />
<br />
==== Anreise ====<br />
<br />
==== Infos für Sponsoren ====<br />
<br />
Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet. <br />
<br />
In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben. Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings” <br />
<br />
Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit). <br />
<br />
Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf <br />
<br />
==== Call for Papers - German Version ====<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
== Call for Presentations ==<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. <br />
<br />
Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungs-Frameworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security-Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.''' <br />
<br />
<br> <br />
<br />
== Program Committee ==<br />
<br />
*Bruce Sams <br />
*Martin Johns <br />
*Kai Jendrian <br />
*Boris Hemkemeier <br />
*Dirk Wetter<br />
<br />
<br> <br />
<br />
== Termine ==<br />
<br />
*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. <br />
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen. <br />
*Benachrichtigung der Vortragenden: 15.08.2009. <br />
*Einreichung der Foliensätze (prefinal): 01.10.2009 <br />
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010<br />
<br />
<br> <br />
<br />
==== Call for Papers - English Version ====<br />
<br />
The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications. <br />
<br />
<br> <br />
<br />
== Call for Presentations ==<br />
<br />
To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation. <br />
<br />
We are interested in all topics related to Web Application Security and OWASP, in particular: <br />
<br />
*Technical presentations related to operations <br />
*Frameworks and best practices for secure development <br />
*Secure Development Lifecycle <br />
*Security awareness programs for developers, testers, architects and project owners <br />
*Security management for applications in the corporate environment <br />
*Application security for Outsourcing and Offshoring projekts <br />
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc. <br />
*OWASP in your workplace, university, etc. <br />
*Metrics for application security<br />
<br />
Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference. <br />
<br />
We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers. <br />
<br />
'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. ''' <br />
<br />
<br> <br />
<br />
== Program Committee ==<br />
<br />
*Bruce Sams <br />
*Martin Johns <br />
*Kai Jendrian <br />
*Boris Hemkemeier <br />
*Dirk Wetter<br />
<br />
<br> <br />
<br />
== Dates ==<br />
<br />
*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes). <br />
*Notification of acceptance by 15 August 2010. <br />
*Prefinal submission of the slides by 01 October 2010 <br />
*Conference: October 20, 2010. Evening program on the 19th of October, 2010<br />
<br />
<br> <br />
<br />
==== Kontakt / Contact ====<br />
<br />
Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse: <br />
<br />
[mailto:ulrike.petersen@owasp.org ulrike.petersen@owasp.org] <br />
<br />
<headertabs /></div>Sebastian Schinzelhttps://wiki.owasp.org/index.php?title=OWASP_Germany_2008_Conference&diff=108534OWASP Germany 2008 Conference2011-04-10T13:23:13Z<p>Sebastian Schinzel: </p>
<hr />
<div>{| cellpadding="20" cellspacing="0" border="1" width="100%" align="center" | <br />
| Die Präsentationen stehen zum Download zur Verfügung - siehe unten.<br />
|}<br />
<br />
<br />
Die deutsche Sektion des Open Web Application Security Projekts (OWASP) hat erstmals einen Branchentreff für '''Entwickler''', '''IT-Security-Verantwortliche''' und '''IT-Manager''' ausgerichtet. Ziel der Veranstaltung war es, eine Plattform zum Erfahrungsaustausch zwischen technischen Entscheidern aufzubauen und herstellerunabhängige Information zum Thema Web-Anwendungssicherheit zur Verfügung zu stellen. <br />
<br />
Die OWASP Germany 2008 Konferenz fand am <br />
<br />
:'''25. November 2008 '''<br />
<br />
mit einer Vorabendveranstaltung im Steigenberger Airport Hotel in '''Frankfurt am Main''' statt. <br />
<br />
(The OWASP Germany 2008 conference has been held on November 25, 2008 in Frankfurt.)<br />
<br />
&nbsp;<br />
&nbsp;<br />
<br />
{{Template:OWASP_Germany_2008_Sponsors}}<br />
<br />
Zurück zur [[Germany|OWASP Germany Homepage]].<br />
<br />
== Agenda ==<br />
{| style="width:80%" border="0" align="center"<br />
! colspan="3" align="center" style="background:#4058A0; color:white" | Montag, 24.11.08 <br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 19:30-open end || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen.<br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen.<br />
<br />
--- Für das leibliche Wohl ist gesorgt. ---<br />
<br />
|-<br />
| style="width:80%" border="0" align="center" ! colspan="3" align="center" style="background:#4058A0; color:#4058A0" | OWASP Germany<br />
|}<br />
<br />
<br />
{| style="width:80%" border="0" align="center"<br />
! colspan="3" align="center" style="background:#4058A0; color:white" | Dienstag, 25.11.08<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 09:00-09:30 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Registrierung und Kaffee<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 09:30-09:45|| colspan="2" style="width:80%; background:#F2F2F2" align="left" | '''Begrüßung'''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 09:45-10:30|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#OWASP Overview (in Englisch) | '''OWASP Overview (in Englisch)''']] [[:Image:Germany 2008 Conference OWASP Introduction v1.pptx|(download)]]<br />
''Sebastien Deleersnyder, OWASP Foundation Board Member''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 10:30-11:15|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen | '''Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen''']] [http://www.owasp.org/images/5/55/OWASP_Germany_2008_Wirtschaftlichkeitsbetrachtungen_von_IT-Sicherheitsmassnahmen.pdf (download)]<br />
''Maximilian Dermann, IT-Security Architect''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 11:15-11:30 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Kaffeepause<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 11:30-12:15|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Kickstart für sichere Webanwendungen |'''Kickstart für sichere Webanwendungen''']] [http://www.owasp.org/images/0/0d/OWASP-Germany_2008_Kickstart_fuer_sichere_Webanwendungen.pdf (download)]<br />
''Thomas Schreiber, SecureNet GmbH''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 12:15-13:00|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#SOA Sicherheitsarchitektur | '''SOA Sicherheitsarchitektur''']] [http://www.owasp.org/images/1/14/OWASP_Germany_2008_SOA_Sicherheitsarchitektur.pdf (download)]<br />
''Dr. Bruce Sams, OPTIMAbit GmbH''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 13:00-14:00 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Mittagspause<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 14:00-14:45|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Vorstellung des OWASP Best Practices Guide zum Einsatz von Web Application Firewalls | '''Vorstellung des OWASP Best Practices Guide zum Einsatz von Web Application Firewalls''']] [http://www.owasp.org/images/7/74/OWASP_Germany_2008_Best_Practices_Guide_zum_Einsatz_von_Web_Application_Firewalls.pdf (download)]<br />
''Alex Meisel, Art of Defence''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | &nbsp; || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Tracks: 30 Min Präsentation , 10 Min Diskussion + Raumsuche<br />
|-<br />
| style="width:10%; background:#7B8ABD" | &nbsp; || style="width:40%; background:#FFDF80" align="left" | '''Track 1''' <br />
| style="width:40%; background:#A0C0E0" align="left" | '''Track 2''' <br />
|-<br />
| style="width:10%; background:#7B8ABD" | 14:50-15:30 || style="width:40%; background:#FFDF80" align=left" | [[#Measuring the Security of Web Applications | '''Measuring the Security of Web Applications''']] [http://www.owasp.org/images/b/bc/OWASP_Germany_2008_Measuring_the_Security_of_Web_Applications.pdf (download)]<br />
''[https://www.owasp.org/index.php/User:Sebastian_Schinzel Sebastian Schinzel], Virtual Forge''<br />
| style="width:40%; background:#a0c0e0 " align=left" | [[#Server- und Browser-basierte XSS Erkennung | '''Server- und Browser-basierte XSS Erkennung''']] [http://www.owasp.org/images/9/9f/OWASP_Germany_2008_Server_und_Browser_basierte_XSS_Erkennung.pdf (download)]<br />
''Martin Johns, Uni Passau, und Jeremias Reith, Uni Hamburg''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 15:30-16:10 || style="width:40%; background:#FFDF80" align=left" | [[#Security-by-Design durch Einsatz von MVC | '''Security-by-Design durch Einsatz von MVC''']] [http://www.owasp.org/images/d/d7/OWASP_Germany_2008_Security_by_Design_durch_Einsatz_von_MVC.pdf (download)]<br />
''Mirko Richter u. Matthias Rohr, SecureNet GmbH''<br />
| style="width:40%; background:#a0c0e0 " align=left" | [[#Cross-Site Scripting Filter Evasion | '''Cross-Site Scripting Filter Evasion''']] [http://www.owasp.org/images/0/0f/OWASP_Germany_2008_Cross_Site_Scripting_Filter_Evasion.pdf (download)]<br />
''Alexios Fakos, n.runs AG''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 16:10-16:30 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Kaffeepause<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 16:30-17:10 || style="width:40%; background:#FFDF80" align=left" | [[#Learning of Positive Security Models for Web-Applications | '''Learning of Positive Security Models for Web-Applications''']] [http://www.owasp.org/images/c/c1/OWASP_Germany_2008_Learning_Positive_Models.pdf (download)]<br />
''Christian Bockermann''<br />
| style="width:40%; background:#a0c0e0 " align=left" | [[#WMAP - Metasploit 3.2 Module für Pentester von Webapplikationen | '''WMAP - Metasploit 3.2 Module für Pentester von Webapplikationen''']] [http://www.owasp.org/images/b/b7/OWASP_Germany_2008_WMAP_Metasploit_Module_fuer_Pentester_von_Webapplikationen.pdf (download)]<br />
''Hans-Martin Münch, it.sec GmbH & Co. KG''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 17:10-17:50|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software | '''Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software''']] [http://www.owasp.org/images/e/e2/OWASP_Germany_2008_Goldene_Regeln_zur_Entwicklung_sicherer_Software.pdf (download)]<br />
''Tom Schröer und Patrick Hildenbrand, SAP; Dr. Boris Hemkemeier, Commerzbank''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 17:50-18:00|| colspan="2" style="width:80%; background:#F2F2F2" align="left" | '''Schlusswort'''<br />
|-<br />
| style="width:80%" border="0" align="center" ! colspan="3" align="center" style="background:#4058A0; color:#4058A0" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''Der Vortrag "Sicherheit von Rich Internet Applications" entfällt leider.''</div><br />
<br />
== Anmeldung und Preise ==<br />
<br />
Bitte melden Sie sich über '''[https://www.infodirekt.de/index.php?id=owasp2008_anmeldung dieses Formular]''' an.<br />
<br />
(Leider steht uns für dieses Mal das Anmeldeportal der OWASP noch nicht zur Verfügung. Wir mussten daher auf einen selbstsignierten https-Server ausweichen, was aber zu einem unschönen Zertifikatsfehler führt. Lassen Sie sich (ausnahmsweise!) davon nicht irritieren und klicken Sie, falls Sie eine Fehlerseite erhalten, auf ''Laden dieser Website fortsetzen (nicht empfohlen)''.)<br />
<br />
'''Preise:'''<br />
{| class="wikitable" <br />
|- valign="bottom"<br />
|style="background-color:#99CCFF" width="112" height="13" | „normaler“ Teilnehmer<br />
| width="60" | 149 EUR<br />
<br />
|- valign="bottom"<br />
|style="background-color:#99CCFF" height="13" | OWASP-Mitglied<br />
| 99 EUR<br />
<br />
|- valign="bottom"<br />
|style="background-color:#99CCFF" height="13" | Studenten<br />
| kostenlos<br />
<br />
|}<br />
<br />
Preise zzgl. MwSt.<br />
<br />
[[#Zimmerkontingente|Zimmerkontingente hier]].<br />
<br />
== Veranstaltungsort ==<br />
<br />
'''[http://www.steigenberger.com/aw/Steigenberger_Airport_Hotel/Hotelinformationen/~zlk/Lage_Anreise/ Steigenberger Airport Hotel]''' (per Bahn und Flieger gleichermaßen gut zu erreichen). [[#Zimmerkontingente|Zimmerkontingente hier]].<br />
<br />
<br />
== Sponsoring ==<br />
<br />
Es besteht die Möglichkeit zum Ausstellen und zum Logo-Sponsoring. [http://www.owasp.org/images/9/98/OWASP_D_2008_Sponsoren_Info.pdf Infos für Sponsoren hier.]<br />
<br />
<br />
== Pressemitteilung ==<br />
<br />
Die Pressemitteilung zur Konferenz finden Sie [https://www.owasp.org/images/b/b3/Owasp-pr-oct08-conf.de.pdf hier].<br />
<br />
== Die Vortr&auml;ge im Einzelnen ==<br />
<br />
=== OWASP Overview (in Englisch) ===<br />
:An introduction to Open Web Application Security Project (OWASP), a worldwide free and open community focused on improving the security of application software. Our mission is to make application security "visible," so that people and organizations can make informed decisions about application security risks.<br />
:[[:Image:Germany 2008 Conference OWASP Introduction v1.pptx|Download Präsentation]]<br />
:''Über Sebastien Deleersnyder''<br />
<br />
:Sebastien started the successful Belgian OWASP Chapter and performed several public presentations on web application and web services security. Sebastien specialises in (web) applicatoin security, combining his software development and information security experience. He is currently OWASP Foundation board member and responsible for the Telindus application security offering in Belgium.<br />
<br />
=== Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen ===<br />
<br />
:Das Problem ist bekannt: alle sind sich einig, dass Webanwendungen sicher sein sollten, aber niemand kann sagen, wie viel Aufwand zu deren Absicherung noch wirtschaftlich ist. Dieser Vortrag zeigt pragmatische, praxiserprobte Ansätze auf, sich einer Wirtschaftlichkeitsbetrachtung zu nähern.<br />
:[http://www.owasp.org/images/5/55/OWASP_Germany_2008_Wirtschaftlichkeitsbetrachtungen_von_IT-Sicherheitsmassnahmen.pdf Download Präsentation]<br />
:''Über Maximilian Dermann''<br />
<br />
:Maximilian Dermann ist selbstständiger IT-Security Architect. Er war bei Lufthansa Technik für mehr als fünf Jahre für die Sicherheit und den Betrieb der zuletzt über 60 eBusiness Applikationen zuständig. Seine Aufgaben beinhalteten u.a. die Erstellung von Detailrichtlinien für sichere Softwareentwicklung und den sicheren Betrieb der Applikationen, die Koordination von Sicherheitsaudits, das Design und die Koordination des Betriebs der Sicherheitsinfrastruktur sowie die Verantwortung für das Betriebsbudget. Als Projektleiter und Architekt hat er mehrere Projekte im Bereich IT-Sicherheit und IT-Infrastruktur durchgeführt. Maximilian Dermann war als Berater und Softwareentwickler im Bereich Webapplikationssicherheit an insgesamt vier Online-Banking und -Brokerage Projekten beteiligt. Er ist aktives Mitglied des OWASP German Chapters und einer der Co-Autoren des Best Practices Guide für Web Application Firewalls.<br />
<br />
=== Kickstart für sichere Webanwendungen ===<br />
:Der Ansatzpunkte und Maßnahmen zur Absicherung von Webanwendungen gibt es viele - doch wo fange ich an und was ist der für meinen ganz speziellen Fall beste Weg? <br />
<br />
:Der Vortrag gibt einen kompakten Überblick über die verschiedenen Ansatzpunkte zur Absicherung von Webanwendungen, diskutiert Vor- und Nachteile und stellt Erfahrungen aus der Praxis dar.<br />
:[http://www.owasp.org/images/0/0d/OWASP-Germany_2008_Kickstart_fuer_sichere_Webanwendungen.pdf Download Präsentation]<br />
:''Über Thomas Schreiber''<br />
<br />
:Thomas Schreiber ist Geschäftsführer der [http://www.securenet.de/ SecureNet GmbH] und Berater für die Sicherheit von Webanwendungen. Seit vielen Jahren beschäftigt er sich mit Sicherheitsaspekten von Webanwendungen und hat mittlerweile Hunderte von Webanwendungen auf ihre Sicherheit hin untersucht. Er ist Coautor des vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen [http://www.bsi.de/literat/studien/websec/WebSec.pdf Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen].<br />
<br />
=== SOA Sicherheitsarchitektur ===<br />
:Der Einsatz von SOA erfordert ein neues Sicherheitsmodell, da viele altbewährte Lösungen für Benutzermanagement, Authentifizierung, Autorisierung usw. nicht mehr funktionieren. Auch kommen neue Anforderungen hinzu, wie z.B. die Föderation und die Integration mit PKI-Systemen. Dieser Vortrag zeigt die spezifischen Sicherheitsprobleme von SOA von einer Architekturperspektive. Wichtige Standards für SOA, wie Policy Enforcement Point (PEP), Policy Decision Point (PDP), SAML, XACML, und deren konkrete Benutzung werden besprochen. Die Bedeutung von Rollenmodelle und die flexible Einbindung von solchen in SOAs wird auch behandelt.<br />
:[http://www.owasp.org/images/1/14/OWASP_Germany_2008_SOA_Sicherheitsarchitektur.pdf Download Präsentation]<br />
:''Über Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel.<br />
<br />
=== OWASP Best Practices zum Einsatz von Web Application Firewalls ===<br />
:Der Vortrag stellt den vom OWASP Germany Chapter erstellten ''OWASP Best Practices zum Einsatz von Web Application Firewalls'' vor.<br />
<br />
:Das Dokument wendet sich vornehmlich an technische Entscheider - speziell Betriebsverantwortliche, Sicherheitsverantwortliche, Applikationseigner (Fachabteilung, technisch Anwendungsverantwortlicher), die den Einsatz einer WAF im Unternehmen evaluieren. Spezielles Augenmerk wurde – wo immer möglich – auf die Darstellung von Aufwandsabschätzungen gelegt – auch im Vergleich zu möglichen Alternativen wie z. B. Änderungen im Sourcecode.<br />
:[http://www.owasp.org/images/7/74/OWASP_Germany_2008_Best_Practices_Guide_zum_Einsatz_von_Web_Application_Firewalls.pdf Download Präsentation]<br />
:''Über Alex Meisel''<br />
<br />
:Bereits in seiner Informatik-Diplomarbeit beschäftigte Alex Meisel sich mit der Abwehr und der Rückverfolgung von sog. Denial-of-Service- Attacken. Bei einem Schweizer IT-Dienstleister war er als Experte für Web-Sicherheit tätig; anschließend betreute er beim größten europäischen Internet-Knotenpunkt LINX (London Internet Exchange) Mitglieder in Fragen der Netzwerk-Sicherheit. Nach seiner dreijährigen Tätigkeit als Senior Consultant für Design und Implementierung von großen Web-Farmen inkl. Security-Audits bei einem führenden Hersteller von Web-Servern wechselte er als Leiter Projektmanagement zur Realisierung von Web-Applikations-Lösungen im SAP-Umfeld zum gleichen Fortune-500-Unternehmen.<br />
<br />
=== Measuring the Security of Web Applications ===<br />
:Software ist unsicher! "Security Researcher" publizieren nahezu täglich Sicherheitsmängel in Softwareapplikationen in einschlägigen Mailinglisten und Internetforen. Und das bereits seit Jahrzehnten. Softwaresicherheit wird immer wichtiger mit der zunehmenden Vernetzung und Kritikalität der Daten. Daher reservieren Softwarehersteller oft signifikante (aber trotzdem begrenzte) Budgets zur sicheren Softwareentwicklung. Um diese Budgets werben Dienstleister und Hersteller von verschiedensten Sicherheitsprodukten. Oft halten diese Dienste und Produkte nicht das, was das Marketing verspricht. Für Softwarehersteller stellt sich die Frage in welche Prozesse und Technologien in welchem Umfang investiert werden sollte: "Wieviel Sicherheitszuwachs bekommt man für wieviel Aufwand"? In diesem Vortrag beleuchte ich Wege und Irrwege, um dieses Kosten-Nutzen-Verhältnis abzuschätzen und zu optimieren. <br />
:[http://www.owasp.org/images/b/bc/OWASP_Germany_2008_Measuring_the_Security_of_Web_Applications.pdf Download Präsentation]<br />
:''Über Sebastian Schinzel''<br />
<br />
:[http://www.sebastian-schinzel.de/ Sebastian Schinzel] ist seit mehr als fünf Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsapplikationen. Bei [http://www.virtualforge.de/ Virtual Forge] führt er Sicherheitsuntersuchungen von SAP-Geschäftsapplikationen durch und berät SAP-Kunden zu sicherer Softwareentwicklung.<br />
<br />
=== Security-by-Design durch Einsatz von MVC ===<br />
:Das Frontend von Anwendungen in Model, View und Controller (MVC) zu unterteilen ist sicher eines der wichtigsten Architekturpatterns bei der Entwicklung von Webanwendungen. Für alle relevanten Programmiersprachen existieren hierfür mittlerweile zahlreiche mächtige Frameworks, wie z.B. Struts und Spring MVC für Java oder Symfony für PHP.<br />
<br />
:Neben dem naheliegenden Nutzen für die Strukturierung der Anwendung besitzen MVC-Frameworks aber auch zahlreiche, oft wenig bekannte Möglichkeiten, die es selbst unerfahrenen Entwicklern ermöglichen, nachhaltig sichere Webanwendungen zu erstellen. Weitergehende Sicherheit wie CSRF-Schutz lässt sich mit speziellen MVC-Plugins, wie HDIV, auch nachträglich, in die Anwendung integrieren. <br />
<br />
:Neben diesen Möglichkeiten werden in diesem Vortrag aber auch grundlegende Sicherheitsprobleme betrachtet, die sich mit dem Einsatz von MVC-Frameworks ergeben.<br />
:[http://www.owasp.org/images/d/d7/OWASP_Germany_2008_Security_by_Design_durch_Einsatz_von_MVC.pdf Download Präsentation]<br />
:''Über Mirko Richter und Matthias Rohr''<br />
<br />
:Mirko Richter ist Entwickler sowie Berater für Softwarearchitektur und –sicherheit bei der [http://www.securenet.de/ SecureNet GmbH] in München. Matthias Rohr ist Berater für Webapplikationssicherheit bei der SecureNet GmbH in München.<br />
<br />
=== Server- und Browser-basierte XSS Erkennung ===<br />
:Wenn man sich HTTP Verkehr von Web Applikationen unter dem Gesichtspunkt des Erkennens von eingeschleustem JaveScript-codes betrachtet, fallen zwei einfache Zusammenhänge ins Auge:<br />
<br />
:* Die Menge aller von einer Web Applikation legitim verwendeten JavaScripte ist stark eingeschränkt, was sowohl in Anzahl wie auch in Varianten betrifft, und ist somit maschinell erfassbar. <br />
:* Es gibt einen klaren Zusammenhang zwischen den Parametern eines eingehenden HTTP Requests und den (eventuellen) reflected XSS Scripten, die in der resultierenden Web Seite enthalten sind.<br />
<br />
:Basierend auf diesen beiden Beobachtungen wurden an den Universitäten Hamburg und Passau zwei Detektoren entwickelt, die in der Lage sind XSS Angriffe zu erkennen. Der Vortrag wird beide Erkennungsmethoden vorstellen und aufzeigen wie wir diese auf der Server-seite [1] sowie im Browser [2] umgesetzt haben.<br />
<br />
:Links:<br />
<br />
:[1] Martin Johns, Bjoern Engelmann, Joachim Posegga: XSSDS:<br />
:Server-side detection of cross-site scripting attacks, in Annual Computer Security Applications Conference (ACSAC '08), December 2008, http://databasement.net/docs/2008_ACSAC_johns_Engelmann_Posegga_XSSDS.pdf<br />
<br />
:[2] Jeremias Reith, noXSS, Firefox extension, http://www.noxss.org/<br />
<br />
:[http://www.owasp.org/images/9/9f/OWASP_Germany_2008_Server_und_Browser_basierte_XSS_Erkennung.pdf Download Präsentation]<br />
:''Über Martin Johns und Jeremias Reith''<br />
<br />
:Martin Johns ist wissenschaftlicher Mitarbeiter an der Universität Passau, wo er im Bereich Web- und Software-Sicherheit forscht und gerade den finalen Schliff an seine Doktorarbeit bringt. Vor seinem Eintritt in die akademische Welt, wirkte er als Software Entwickler in verschiedenen Firmen, wie z.B. Infoseek Deutschland, TC Trustcenter und der SAP AG.<br />
<br />
:Jeremias Reith studiert seit 2002 Informatik mit dem Schwerpunkt IT Sicherheit an der Universität Hamburg und arbeitet ausserdem als System-Engineer für ein international agierendes Medienhaus. Momentan schreibt er seine Diplomarbeit mit dem Thema "Reliable reflective XSS detection on the client side" und widmet sich in seiner Freizeit der Firefox-Erweiterung noXSS welche vor XSS-Angriffen schützen soll.<br />
<br />
=== Cross-Site Scripting Filter Evasion ===<br />
:Die Darstellung seiner Individualität ist einer der Schlüsselfaktoren, um im Web 2.0 Business erfolgreich tätig zu sein. Aus diesem Grund erlauben viele Web 2.0 Anwendungen Ihren Benutzern sich freizügig zu präsentieren. Aber diese Praxis erhöht die Risikoanfälligkeit von Cross-Site Scripting Schwachstellen. Der Vortrag untersucht diverse Blacklist- und Whitelist-Ansätze und wie solche Filterregeln umgangen werden können.<br />
:[http://www.owasp.org/images/0/0f/OWASP_Germany_2008_Cross_Site_Scripting_Filter_Evasion.pdf Download Präsentation]<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum deutschen IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
=== Learning of Positive Security Models for Web-Applications ===<br />
<br />
:In vielen Bereichen haben maschinelle Lernverfahren bereits einen großen Einfluß genommen. SPAM-Bekämpfung und Anomalie-basierte Intrusion-Detection wären ohne KI-Ansätze wie Text-Klassifizierung, Clustering oder Outlier-Detection nicht möglich. Im Bereich der Web-Sicherheit gibt es dagegen bisher nur sehr wenige wissenschaftliche Arbeiten, maschinelles Lernen zu verwenden. Auf der anderen Seite werben immer mehr Hersteller von Web Application Firewalls mit selbst-lernenden Systemen ohne Details preiszugeben.<br />
<br />
:Der Vortrag gibt einen Überblick über die (wenigen) wissenschaftlichen Arbeiten zum Thema Web-Sicherheit aus dem Blickwinkel des maschinellen Lernens und stellt ein Projekt vor, das versucht, positive Sicherheitsmodelle für WAF-Systeme aus HTTP-Traffic automatisiert zu erstellen.<br />
:[http://www.owasp.org/images/c/c1/OWASP_Germany_2008_Learning_Positive_Models.pdf Download Präsentation]<br />
:''Über Christian Bockermann''<br />
<br />
:Christian Bockermann ist derzeit wissenschaftlicher Mitarbeiter an der Technischen Universität Dortmund. Nach seiner Diplomarbeit zum Thema "Anomalie-Erkennung in Web-Anwendungen" promoviert er zur Zeit am Lehrstuhl für künstliche Intelligenz im Bereich Web-Sicherheit. Neben einigen Projekten zur Web-Sicherheit betreibt er die Seite jwall.org [http://jwall.org], die einen Teil der Tools bereitstellt, die im Rahmen der Forschungsarbeiten bisher entwickelt wurden.<br />
<br />
=== WMAP - Metasploit 3.2 Module für Pentester von Webapplikationen ===<br />
:War das Metasploit Framework bisher vor allem für Penetrationstest auf Infrastrukturebene interessant, so wurden mit der Einbindung des WMAP Projekts von Efrain Torres eine Reihe von Modulen vorgestellt welche auch bei der Untersuchung einer Webapplikation nützlich sind. Dieser Vortrag zeigt die grundlegende Arbeitsweise mit diesen Modulen.<br />
:[http://www.owasp.org/images/b/b7/OWASP_Germany_2008_WMAP_Metasploit_Module_fuer_Pentester_von_Webapplikationen.pdf Download Präsentation]<br />
:''Über Hans-Martin Münch''<br />
:Hans-Martin Münch arbeitet als Security Consultant bei der Firma it.sec, wo er sich hauptsächlich mit der Durchführung von Penetrationstests befasst. <br />
<br />
=== Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software ===<br />
:Im Rahmen Forschungsprojektes [http://www.secologic.de Secologic] wurden von SAP und Commerzbank u.a. "Goldene Regeln" jeweils für Entwickler, Auftraggeber, Architekten, Tester und IT- Projektleiter entwickelt, die dazu beitragen sollen, die Zahl sicherheitsrelevanter Fehler in Software systematisch zu reduzieren. Das Projekt richtete sich insbesondere an den Mittelstand, wo spezialisiertes Wissen zur Sicherheit von IT-Anwendungen nicht vorausgesetzt werden kann. Die Besonderheit: Nicht nur die Entwickler, sondern auch die (internen oder externen) Auftraggeber werden in die Pflicht genommen. Denn hier sitzt der erste wichtige "Hebel" für die Verbesserung der Softwarequalität.<br />
:[http://www.owasp.org/images/e/e2/OWASP_Germany_2008_Goldene_Regeln_zur_Entwicklung_sicherer_Software.pdf Download Präsentation]<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier arbeitet als Senior Security Consultant bei der [http://www.commerzbank.de Commerzbank AG] und ist Board Member des German OWASP Chapters.<br />
<br />
:''Über Patrick Hildenbrand''<br />
<br />
:Patrick Hildenbrand ist Solution Manager SAP Business ByDesign mit den Schwerpunkten Security, Identity und Access Management und B2B Kommunikation.<br />
<br />
:''Über Tom Schröer''<br />
<br />
:Tom Schröer koordiniert bei der [http://www.sap.com SAP AG] die internen Richtlinien für das sichere Programmieren.<br />
<br />
== Zimmerkontingente ==<br />
<br />
Veranstaltungshotel:<br />
<br />
'''Steigenberger Airport Hotel Frankfurt'''<br />
<br />
Unterschweinstiege 16<br />
<br />
D-60549 Frankfurt am Main<br />
<br />
Internet: www.airporthotel.seigenberger.de<br />
<br />
Zimmerreservierung unter folgendem Abrufkontingent reservierbar<br />
<br />
Telefon: 0049-69-6975 24 26 oder 0049-69-6975 24 27<br />
<br />
Stichwort: OWASP<br />
<br />
Kosten pro Teilnehmer und Übernachtung: 165 Euro ohne Frühstück auf Selbstzahlerbasis<br />
<br />
<br />
<br />
<br />
<br />
Alternative Hotels stehen wir folgt zur Auswahl:<br />
<br />
'''NH Frankfurt Rhein Main'''<br />
<br />
Kelsterbacher Strasse 19-21<br />
<br />
65479 Raunheim<br />
<br />
Internet: www.nh-hotels.com<br />
<br />
Zimmerreservierung unter folgendem Abrufkontingent reservierbar<br />
<br />
Telefon: 0049-6142-99 07 89 <br />
<br />
Stichwort: OWASP<br />
<br />
Kosten pro Teilnehmer und Übernachtung: 128 Euro ohne Frühstück auf Selbstzahlerbasis<br />
<br />
Direkter Hotel Shuttle zum Airport und von dort mit Shuttle zum Steigenberger Airport Hotel Frankfurt<br />
<br />
<br />
<br />
HRS Buchungssysteme:<br />
<br />
Tel 0049-221-2077 600<br />
<br />
Internet: www.hrs.de<br />
<br />
Hier können Sie aus einer großen Auswahl direkt Ihr Hotel aussuchen und gemäß Ihren Ansprüchen gezielt wählen.<br />
<br />
<br />
<br />
<br />
Zurück zur [[Germany|OWASP Germany Homepage]].<br />
<br />
[[Category:Germany]]</div>Sebastian Schinzelhttps://wiki.owasp.org/index.php?title=User:Sebastian_Schinzel&diff=108533User:Sebastian Schinzel2011-04-10T13:21:09Z<p>Sebastian Schinzel: </p>
<hr />
<div>[http://www.sebastian-schinzel.de/ Private Homepage]<br />
<br />
[https://www.xing.com/profile/Sebastian_Schinzel Xing Profile]<br />
<br />
[http://www.linkedin.com/in/abapsecurity LinkedIn Profile]<br />
<br />
[http://www.amazon.de/-/e/B004OWXVWY Amazon Author Profile]</div>Sebastian Schinzelhttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2010_Conference&diff=92115OWASP AppSec Germany 2010 Conference2010-10-29T12:47:25Z<p>Sebastian Schinzel: Added link</p>
<hr />
<div>__NOTOC__ <!--<br />
{| cellpadding="20" cellspacing="0" border="1" width="100%" align="center" | <br />
| Die Präsentationen stehen zum [[#Die Vorträge im Einzelnen|Download]] zur Verfügung.<br />
|}<br />
--> <br />
<br />
[[Image:Appsec germany 2010.png|center]]<br><br />
<center style="font-size:150%;float:center">Die führende deutsche Konferenz zur Web Application Security in Nürnberg.<br><br>[https://owasp.artofdefence.com Melden] Sie sich noch heute an.</center><br><br />
<br />
<br />
==== OWASP AppSec Germany 2010 ====<br />
<br />
[[Image:Appsec germany 2010.png|right|190x71px]]<br> Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden. <br />
<center><br> </center> <br />
<br />
<br />
== Sponsoren ==<br />
<br />
Wir danken unseren Sponsoren: <br />
<br />
{{Template:OWASP_Germany_2010_Sponsors}} <br />
<br />
<br> <br />
<br />
== Konferenzdaten ==<br />
<br />
Die Konferenz findet parallel zur it-sa (http://www.it-sa.de/) in Nürnberg statt. Als Teilnehmer der OWASP AppSec Germany 2010 haben Sie an allen Tagen freien Eintritt zur it-sa. Mit Ihrer Anmeldung erhalten Sie von uns die entsprechende eGastticket-Nummer, um sich auch dort zu registrieren.<br />
<br />
<br> <br />
<br />
=== Wo? ===<br />
<br />
CCN Ost CongressCenter <br />
<br />
Messezentrum <br />
<br />
90471 Nürnberg <br />
<br />
<br> <br />
<br />
=== Wann? ===<br />
<br />
Vorabendveranstaltung: 19.10.2010 <br />
<br />
Konferenz: 20.10.2010 <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== Organisation ==<br />
<br />
*Georg Hess (Chapter Leader Germany) <br />
*Boris Hemkemeier (Board Member) <br />
*Tobias Glemser (Board Member) <br />
*Bruce Sams (Board Member) <br />
*Achim Hoffmann (Board Member) <br />
*Ulrike Petersen (Board Member) <br />
*Kai Jendrian (Program Committee) <br />
*Martin Johns (Program Committee) <br />
*Dirk Wetter (Program Committee)<br />
<br />
'''Looking forward to see you in Nuremberg!''' <br />
<br />
<br> <br />
<br />
==== Agenda / Presentations ====<br />
<br />
Die Agenda für die OWASP AppSec Germany 2010: <br />
<br />
== Agenda ==<br />
<br />
{| border="0" align="center" style="width: 80%;" class="FCK__ShowTableBorders"<br />
|-<br />
| align="center" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" colspan="4" | '''20. Oktober 2010''' <br />
<br> <br />
<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | <br> <br />
| style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 - Raum 1 <br />
| style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2 - Raum 2<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:00 - 9:15 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | Begrüßung<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 09:15 - 10:15 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | Keynote -- ''Sebastian Klipper'' <br> Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 10:15 - 11:00 <br />
| align="center" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" colspan="3" | ''Tom Brennan'' <br> [http://www.owasp.org/images/9/97/Brennan-Keynote.pdf Current State of OWASP Adoption]<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:00 - 11:30 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Kaffeepause<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 11:30 - 12:00 <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Der OWASP ASVS Standard, <br> ''Matthias Rohr'' <br> <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | XML-Security - Brief introduction in the use of web service In B2B environments and backend integration, <br> ''Sascha Herzog''<br />
<!-- <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques?, <br> ''Martin Johns''<br />
--><br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:00 - 12:30 <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Developing Secure Applications with OWASP, <br> ''Martin Knobloch'' <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Seitenkanalschwachstellen im Web erkennen und verhindern, <br> ''Sebastian Schinzel''<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 12:30 - 14:00 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Mittagspause<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:00 - 14:30 <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | OWASP Top 10, die Vierte: Was t/nun? ''<br>Dr. Dirk Wetter'' <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Härtung von SAP HTTP- und Webservices, <br> ''Frederik Weidemann''<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 14:30 - 15:00 <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes, <br> ''Dr. Ingo Hanke'' und ''Daniel Bartschies'' <br />
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | WATOBO - Web Application Toolbox, <br> ''Andreas Schmidt'' <br><br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:00 - 15:30 <br />
| align="left" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" colspan="3" | Pause<br />
|-<br />
| style="width: 12%; background: none repeat scroll 0% 0% rgb(123, 138, 189);" | 15:30 - 16:30 <br />
| align="center" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" colspan="3" | distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud), ''Alexander Meisel'' <br />
<br> (Und Abschlussworte) <br />
<br />
|}<br />
<br />
<br><br />
<br />
== Download der Vorträge ==<br />
<br />
Die Vorträge werden hier nach der Konferenz zum Download bereitstehen ...<br />
<br />
<br />
{| border="0" align="center" style="width: 80%;" class="FCK__ShowTableBorders"<br />
|-<br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | Track 1 <br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Track 2 <br />
|-<br />
| colspan="2" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" align="center" | [[Media:AppSec2010-Keynote.pdf|Keynote]]<br />
|-<br />
|colspan="2" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="center" | [[Media:AppSecGermany210-Brennan-Keynote.pdf|Current State of OWASP Adoption]]<br />
|-<br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | [[Media:OWASP-ASVS-Standard.pdf|OWASP ASVS-Standard]] <br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | [[Media:XML_Exteral_Entity_Attack.pdf|XML Exteral Entity Attack (XEE)]]<br />
|-<br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | [[Media:Developing_Secure_Applications_with_OWASP.pdf|Developing Secure Applications with OWASP]] <br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | [[Media:Side_Channel_Vulnerabilities.pdf|Seitenkanalschwachstellen im Web erkennen und verhindern]]<br />
|-<br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | [[Media:OWASP_Top10-Wat-nu.pdf|OWASP Top10 - Wat nu?]] <br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | [[Media:--comming-soon--.pdf|Härtung von SAP HTTP- und Webservices]]<br />
|-<br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(188, 133, 122);" | [[Media:Datenschutz-Top10.pdf|Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes]] <br />
| style="width: 49%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | [[Media:WATOBO.pdf|Web Application Toolbox]]<br />
|-<br />
|colspan="2" style="background: none repeat scroll 0% 0% rgb(252, 252, 150);" align="center" | [[Media:OWASP-Germany-AppSec2010.pdf|distributed Web Application Firewall (dWAF)]]<br />
|}<br />
<br />
== Details zu den Vorträgen ==<br />
<br />
=== ''Keynote:'' Sebastian Klipper — Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 ===<br />
<br />
Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8 <br />
<br />
Unterschiedliche Akteure in Unternehmen und Behörden erleben unterschiedliche Realitäten. Bei Sicherheitsmaßnahmen sind die Abweichungen zwischen Mitarbeitern, Chefs und Fachleuten besonders groß. <br />
<br />
Fehlt die Kompetenz '''auf''' oder fehlt sie '''für''' OSI-Layer 8? <br />
<br />
=== [http://www.owasp.org/index.php/User:Brennan Tom Brennan] — Current State of Application Security Adoption ===<br />
<br />
(Englischer Vortrag): Web application security is critically important - today 75% of attacks are clearly targeting your web applications. In this rapidly evolving landscape professionals - developers, IT, management and information security - all have an important part in web application security. <br />
<br />
Founded in 2001, Tom Brennan will provide a review, refresh and update about the OWASP Foundation including the who, what and how we can help. <br />
<br />
<br> <br />
<br />
=== Matthias Rohr — Der OWASP ASVS-Standard ===<br />
<br />
In diesem Vortrag soll der OWASP ASVS-Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden. <br />
<br />
Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung. <br />
<br />
<br> <br />
<br />
=== Sascha Herzog — XML-Security - Brief introduction in the use of web service In B2B environments and backend integration ===<br />
<br />
* Brief introduction into XML, DTD and XML Schema<br />
* Show attacks against XML generators and XML parsers.<br />
* Presents how the xerces parsers can be hardened to prevent of attacks<br />
* I will talk about XEE xml external entity attacks and flavors of it<br />
* You will get an idea of XML DoS attacks<br />
* Free Hands-on labs include excercises for...<br />
* XML Injection<br />
* XML URL enumeration<br />
* XML directore traversal<br />
* XML port scanning<br />
* All of&apos;em are XXE<br />
<br><br />
<br />
<!--<br />
=== Martin Johns — Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques? ===<br />
<br />
Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research. <br />
<br />
This talk: <br />
<br />
*will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact, <br />
*set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research, <br />
*identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.<br />
<br />
Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7]. <br />
<br />
[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com <br />
[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html <br />
[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html <br />
[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html <br />
[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html <br />
[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/ <br />
[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database <br />
<br> <br />
--><br />
<br />
=== Alexander Meisel — distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud) ===<br />
<br />
Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen. <br />
<br />
Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt. <br />
<br />
Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann. <br />
<br />
<br> <br />
<br />
=== Martin Knobloch — Developing Secure Applications with OWASP ===<br />
<br />
After an introduction about OWASP, Martin will higlight the top projects of OWASP During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle. <br />
<br />
<br> <br />
<br />
=== Dr. Dirk Wetter — OWASP Top 10, die Vierte: Was t/nun? ===<br />
<br />
Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal. Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene. <br />
<br />
Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25. <br />
<br />
<br> <br />
<br />
=== Sebastian Schinzel — Seitenkanalschwachstellen im Web erkennen und verhindern ===<br />
<br />
Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher? <br />
<br />
Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt. <br />
<br />
In diesem Vortrag zeigt [http://www.sebastian-schinzel.de/ Sebastian Schinzel] an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann. <br />
<br />
<br> <br />
<br />
=== Andreas Schmidt — WATOBO - Web Application Toolbox ===<br />
<br />
Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde. Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt. <br />
<br />
In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt. <br />
<br />
WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net). <br />
<br />
Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten. Abgerundet wird die Präsentation durch eine kurze Demonstration. <br />
<br />
<br> <br />
<br />
=== Frederik Weidemann — Härtung von SAP HTTP- und Web Services ===<br />
<br />
Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden? <br />
<br />
Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt <br />
<br />
*wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird <br />
*welche Rolle Web Application Firewalls und Reverse Proxies spielen<br />
<br />
Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen: <br />
<br />
*Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden? <br />
*Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …) <br />
*Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden. <br />
*Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf? <br />
*Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?<br />
<br />
Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt. <br />
<br />
*Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt? <br />
*Übersicht über SAPs Web Security Szenarios <br />
*Risiken bei der Entwicklung von eigenen HTTP Handlern <br />
*Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10<br />
<br />
<br> <br />
<br />
=== Dr. Ingo Hanke and Daniel Bartschies — Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes ===<br />
<br />
Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz. <br />
<br />
Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre. <br />
<br />
Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist. <br />
<br />
Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit. <br />
<br />
An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft. <br />
<br />
<br> <br />
<br />
==== &nbsp; Anmeldung ====<br />
<br />
Die Anmeldung zur OWASP ist nun online.<br />
<br />
== Preise ==<br />
<br />
Für die OWASP AppSec 2010 gelten die folgenden Preise: <br />
<br />
*normaler Teilnehmer = 229,00 EUR <br />
*OWASP-Mitglied = 169,00 EUR <br />
*Studenten, Beschäftigte von Universitäten, Behörden, öffentlicher Verwaltung etc = 39 EUR (**)<br />
<br />
(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen. <br />
<br />
== Anmeldeseite ==<br />
<br />
Die Anmeldung zur OWASP AppSec 2010 erfolgt über die folgende Seite: <br />
<br />
https://owasp.artofdefence.com/<br />
<br />
<br> <br />
<br />
<br />
<br />
==== Vorabendveranstaltung ====<br />
<br />
Wie auch die letzten Jahre gibt es eine Vorabendveranstaltung zur Konferenz: <br />
<br />
&nbsp;&nbsp;&nbsp; 19:00 - 20:00 Uhr Empfang<br><br />
&nbsp;&nbsp;&nbsp; Ab 20:00 Uhr Abendessen, Ende ca. 01:00 Uhr<br />
<br />
sie findet im Restaurant Barfüßer (http://www.barfuesser-nuernberg.de/) statt:<br />
<br />
&nbsp;&nbsp;&nbsp; Hallplatz 2<br><br />
&nbsp;&nbsp;&nbsp; 90402 Nürnberg<br><br />
&nbsp;&nbsp;&nbsp; Telefon 0911 20 42 42<br><br />
<br />
In gemütlicher Runde bietet sich die Möglichkeit, bestehende Kontakte zu vertiefen oder neue Kontakte zu knüpfen. Wir würden uns freuen, möglichst viele Teilnehmer auch hier begrüßen zu können. Über die Anmeldung zur Konferenz kann auch die Anmeldung zum Vorabendevent erfolgen. <br />
<br />
<br> <br />
<br />
==== it-sa / OWASP Messestand ====<br />
<br />
[[Image:Itsa-2010-fair-plan.png|thumb|left]] Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der [http://www.it-sa.de/ it-sa] vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West. <br />
<br />
Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen&nbsp;;) <br />
<br />
==== Anreise ====<br />
<br />
==== Infos für Sponsoren ====<br />
<br />
Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet. <br />
<br />
In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben. Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- , Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings” <br />
<br />
Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit). <br />
<br />
Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf <br />
<br />
==== Call for Papers - German Version ====<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
== Call for Presentations ==<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. <br />
<br />
Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungs-Frameworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security-Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
'''Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.''' <br />
<br />
<br> <br />
<br />
== Program Committee ==<br />
<br />
*Bruce Sams <br />
*Martin Johns <br />
*Kai Jendrian <br />
*Boris Hemkemeier <br />
*Dirk Wetter<br />
<br />
<br> <br />
<br />
== Termine ==<br />
<br />
*Einreichungen bis '''15.08.2010''' Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. <br />
*Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen. <br />
*Benachrichtigung der Vortragenden: 15.08.2009. <br />
*Einreichung der Foliensätze (prefinal): 01.10.2009 <br />
*Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010<br />
<br />
<br> <br />
<br />
==== Call for Papers - English Version ====<br />
<br />
The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications. <br />
<br />
<br> <br />
<br />
== Call for Presentations ==<br />
<br />
To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation. <br />
<br />
We are interested in all topics related to Web Application Security and OWASP, in particular: <br />
<br />
*Technical presentations related to operations <br />
*Frameworks and best practices for secure development <br />
*Secure Development Lifecycle <br />
*Security awareness programs for developers, testers, architects and project owners <br />
*Security management for applications in the corporate environment <br />
*Application security for Outsourcing and Offshoring projekts <br />
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc. <br />
*OWASP in your workplace, university, etc. <br />
*Metrics for application security<br />
<br />
Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the [http://www.owasp.org/index.php/Speaker_Agreement OWASP Speaker Agreement] without changes prior to the conference. <br />
<br />
We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers. <br />
<br />
'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. ''' <br />
<br />
<br> <br />
<br />
== Program Committee ==<br />
<br />
*Bruce Sams <br />
*Martin Johns <br />
*Kai Jendrian <br />
*Boris Hemkemeier <br />
*Dirk Wetter<br />
<br />
<br> <br />
<br />
== Dates ==<br />
<br />
*'''Submissions no later than 15 August 2010''' online via [http://www.easychair.org/conferences/?conf=appsecgermany2010 Easychair]. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes). <br />
*Notification of acceptance by 15 August 2010. <br />
*Prefinal submission of the slides by 01 October 2010 <br />
*Conference: October 20, 2010. Evening program on the 19th of October, 2010<br />
<br />
<br />
==== Kontakt / Contact ====<br />
<br />
Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse: <br />
<br />
[mailto:ulrike.petersen@owasp.org ulrike.petersen@owasp.org]<br />
<br />
<headertabs /></div>Sebastian Schinzelhttps://wiki.owasp.org/index.php?title=OWASP_Germany_2008_Conference&diff=71851OWASP Germany 2008 Conference2009-10-20T16:57:05Z<p>Sebastian Schinzel: /* Measuring the Security of Web Applications */</p>
<hr />
<div><br />
{| cellpadding="20" cellspacing="0" border="1" width="100%" align="center" | <br />
| Die Präsentationen stehen zum Download zur Verfügung - siehe unten.<br />
|}<br />
<br />
<br />
Die deutsche Sektion des Open Web Application Security Projekts (OWASP) hat erstmals einen Branchentreff für '''Entwickler''', '''IT-Security-Verantwortliche''' und '''IT-Manager''' ausgerichtet. Ziel der Veranstaltung war es, eine Plattform zum Erfahrungsaustausch zwischen technischen Entscheidern aufzubauen und herstellerunabhängige Information zum Thema Web-Anwendungssicherheit zur Verfügung zu stellen. <br />
<br />
Die OWASP Germany 2008 Konferenz fand am <br />
<br />
:'''25. November 2008 '''<br />
<br />
mit einer Vorabendveranstaltung im Steigenberger Airport Hotel in '''Frankfurt am Main''' statt. <br />
<br />
(The OWASP Germany 2008 conference has been held on November 25, 2008 in Frankfurt.)<br />
<br />
&nbsp;<br />
&nbsp;<br />
<br />
{{Template:OWASP_Germany_2008_Sponsors}}<br />
<br />
Zurück zur [[Germany|OWASP Germany Homepage]].<br />
<br />
== Agenda ==<br />
{| style="width:80%" border="0" align="center"<br />
! colspan="3" align="center" style="background:#4058A0; color:white" | Montag, 24.11.08 <br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 19:30-open end || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen.<br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen.<br />
<br />
--- Für das leibliche Wohl ist gesorgt. ---<br />
<br />
|-<br />
| style="width:80%" border="0" align="center" ! colspan="3" align="center" style="background:#4058A0; color:#4058A0" | OWASP Germany<br />
|}<br />
<br />
<br />
{| style="width:80%" border="0" align="center"<br />
! colspan="3" align="center" style="background:#4058A0; color:white" | Dienstag, 25.11.08<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 09:00-09:30 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Registrierung und Kaffee<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 09:30-09:45|| colspan="2" style="width:80%; background:#F2F2F2" align="left" | '''Begrüßung'''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 09:45-10:30|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#OWASP Overview (in Englisch) | '''OWASP Overview (in Englisch)''']] [[:Image:Germany 2008 Conference OWASP Introduction v1.pptx|(download)]]<br />
''Sebastien Deleersnyder, OWASP Foundation Board Member''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 10:30-11:15|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen | '''Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen''']] [http://www.owasp.org/images/5/55/OWASP_Germany_2008_Wirtschaftlichkeitsbetrachtungen_von_IT-Sicherheitsmassnahmen.pdf (download)]<br />
''Maximilian Dermann, IT-Security Architect''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 11:15-11:30 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Kaffeepause<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 11:30-12:15|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Kickstart für sichere Webanwendungen |'''Kickstart für sichere Webanwendungen''']] [http://www.owasp.org/images/0/0d/OWASP-Germany_2008_Kickstart_fuer_sichere_Webanwendungen.pdf (download)]<br />
''Thomas Schreiber, SecureNet GmbH''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 12:15-13:00|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#SOA Sicherheitsarchitektur | '''SOA Sicherheitsarchitektur''']] [http://www.owasp.org/images/1/14/OWASP_Germany_2008_SOA_Sicherheitsarchitektur.pdf (download)]<br />
''Dr. Bruce Sams, OPTIMAbit GmbH''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 13:00-14:00 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Mittagspause<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 14:00-14:45|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Vorstellung des OWASP Best Practices Guide zum Einsatz von Web Application Firewalls | '''Vorstellung des OWASP Best Practices Guide zum Einsatz von Web Application Firewalls''']] [http://www.owasp.org/images/7/74/OWASP_Germany_2008_Best_Practices_Guide_zum_Einsatz_von_Web_Application_Firewalls.pdf (download)]<br />
''Alex Meisel, Art of Defence''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | &nbsp; || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Tracks: 30 Min Präsentation , 10 Min Diskussion + Raumsuche<br />
|-<br />
| style="width:10%; background:#7B8ABD" | &nbsp; || style="width:40%; background:#FFDF80" align="left" | '''Track 1''' <br />
| style="width:40%; background:#A0C0E0" align="left" | '''Track 2''' <br />
|-<br />
| style="width:10%; background:#7B8ABD" | 14:50-15:30 || style="width:40%; background:#FFDF80" align=left" | [[#Measuring the Security of Web Applications | '''Measuring the Security of Web Applications''']] [http://www.owasp.org/images/b/bc/OWASP_Germany_2008_Measuring_the_Security_of_Web_Applications.pdf (download)]<br />
''Sebastian Schinzel, Virtual Forge''<br />
| style="width:40%; background:#a0c0e0 " align=left" | [[#Server- und Browser-basierte XSS Erkennung | '''Server- und Browser-basierte XSS Erkennung''']] [http://www.owasp.org/images/9/9f/OWASP_Germany_2008_Server_und_Browser_basierte_XSS_Erkennung.pdf (download)]<br />
''Martin Johns, Uni Passau, und Jeremias Reith, Uni Hamburg''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 15:30-16:10 || style="width:40%; background:#FFDF80" align=left" | [[#Security-by-Design durch Einsatz von MVC | '''Security-by-Design durch Einsatz von MVC''']] [http://www.owasp.org/images/d/d7/OWASP_Germany_2008_Security_by_Design_durch_Einsatz_von_MVC.pdf (download)]<br />
''Mirko Richter u. Matthias Rohr, SecureNet GmbH''<br />
| style="width:40%; background:#a0c0e0 " align=left" | [[#Cross-Site Scripting Filter Evasion | '''Cross-Site Scripting Filter Evasion''']] [http://www.owasp.org/images/0/0f/OWASP_Germany_2008_Cross_Site_Scripting_Filter_Evasion.pdf (download)]<br />
''Alexios Fakos, n.runs AG''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 16:10-16:30 || colspan="2" style="width:80%; background:#C2C2C2" align="center" | Kaffeepause<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 16:30-17:10 || style="width:40%; background:#FFDF80" align=left" | [[#Learning of Positive Security Models for Web-Applications | '''Learning of Positive Security Models for Web-Applications''']] [http://www.owasp.org/images/c/c1/OWASP_Germany_2008_Learning_Positive_Models.pdf (download)]<br />
''Christian Bockermann''<br />
| style="width:40%; background:#a0c0e0 " align=left" | [[#WMAP - Metasploit 3.2 Module für Pentester von Webapplikationen | '''WMAP - Metasploit 3.2 Module für Pentester von Webapplikationen''']] [http://www.owasp.org/images/b/b7/OWASP_Germany_2008_WMAP_Metasploit_Module_fuer_Pentester_von_Webapplikationen.pdf (download)]<br />
''Hans-Martin Münch, it.sec GmbH & Co. KG''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 17:10-17:50|| colspan="2" style="width:80%; background:#FFDF80" align=left" | [[#Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software | '''Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software''']] [http://www.owasp.org/images/e/e2/OWASP_Germany_2008_Goldene_Regeln_zur_Entwicklung_sicherer_Software.pdf (download)]<br />
''Tom Schröer und Patrick Hildenbrand, SAP; Dr. Boris Hemkemeier, Commerzbank''<br />
|-<br />
| style="width:10%; background:#7B8ABD" | 17:50-18:00|| colspan="2" style="width:80%; background:#F2F2F2" align="left" | '''Schlusswort'''<br />
|-<br />
| style="width:80%" border="0" align="center" ! colspan="3" align="center" style="background:#4058A0; color:#4058A0" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''Der Vortrag "Sicherheit von Rich Internet Applications" entfällt leider.''</div><br />
<br />
== Anmeldung und Preise ==<br />
<br />
Bitte melden Sie sich über '''[https://www.infodirekt.de/index.php?id=owasp2008_anmeldung dieses Formular]''' an.<br />
<br />
(Leider steht uns für dieses Mal das Anmeldeportal der OWASP noch nicht zur Verfügung. Wir mussten daher auf einen selbstsignierten https-Server ausweichen, was aber zu einem unschönen Zertifikatsfehler führt. Lassen Sie sich (ausnahmsweise!) davon nicht irritieren und klicken Sie, falls Sie eine Fehlerseite erhalten, auf ''Laden dieser Website fortsetzen (nicht empfohlen)''.)<br />
<br />
'''Preise:'''<br />
{| class="wikitable" <br />
|- valign="bottom"<br />
|style="background-color:#99CCFF" width="112" height="13" | „normaler“ Teilnehmer<br />
| width="60" | 149 EUR<br />
<br />
|- valign="bottom"<br />
|style="background-color:#99CCFF" height="13" | OWASP-Mitglied<br />
| 99 EUR<br />
<br />
|- valign="bottom"<br />
|style="background-color:#99CCFF" height="13" | Studenten<br />
| kostenlos<br />
<br />
|}<br />
<br />
Preise zzgl. MwSt.<br />
<br />
[[#Zimmerkontingente|Zimmerkontingente hier]].<br />
<br />
== Veranstaltungsort ==<br />
<br />
'''[http://www.steigenberger.com/aw/Steigenberger_Airport_Hotel/Hotelinformationen/~zlk/Lage_Anreise/ Steigenberger Airport Hotel]''' (per Bahn und Flieger gleichermaßen gut zu erreichen). [[#Zimmerkontingente|Zimmerkontingente hier]].<br />
<br />
<br />
== Sponsoring ==<br />
<br />
Es besteht die Möglichkeit zum Ausstellen und zum Logo-Sponsoring. [http://www.owasp.org/images/9/98/OWASP_D_2008_Sponsoren_Info.pdf Infos für Sponsoren hier.]<br />
<br />
<br />
== Pressemitteilung ==<br />
<br />
Die Pressemitteilung zur Konferenz finden Sie [https://www.owasp.org/images/b/b3/Owasp-pr-oct08-conf.de.pdf hier].<br />
<br />
== Die Vortr&auml;ge im Einzelnen ==<br />
<br />
=== OWASP Overview (in Englisch) ===<br />
:An introduction to Open Web Application Security Project (OWASP), a worldwide free and open community focused on improving the security of application software. Our mission is to make application security "visible," so that people and organizations can make informed decisions about application security risks.<br />
:[[:Image:Germany 2008 Conference OWASP Introduction v1.pptx|Download Präsentation]]<br />
:''Über Sebastien Deleersnyder''<br />
<br />
:Sebastien started the successful Belgian OWASP Chapter and performed several public presentations on web application and web services security. Sebastien specialises in (web) applicatoin security, combining his software development and information security experience. He is currently OWASP Foundation board member and responsible for the Telindus application security offering in Belgium.<br />
<br />
=== Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen ===<br />
<br />
:Das Problem ist bekannt: alle sind sich einig, dass Webanwendungen sicher sein sollten, aber niemand kann sagen, wie viel Aufwand zu deren Absicherung noch wirtschaftlich ist. Dieser Vortrag zeigt pragmatische, praxiserprobte Ansätze auf, sich einer Wirtschaftlichkeitsbetrachtung zu nähern.<br />
:[http://www.owasp.org/images/5/55/OWASP_Germany_2008_Wirtschaftlichkeitsbetrachtungen_von_IT-Sicherheitsmassnahmen.pdf Download Präsentation]<br />
:''Über Maximilian Dermann''<br />
<br />
:Maximilian Dermann ist selbstständiger IT-Security Architect. Er war bei Lufthansa Technik für mehr als fünf Jahre für die Sicherheit und den Betrieb der zuletzt über 60 eBusiness Applikationen zuständig. Seine Aufgaben beinhalteten u.a. die Erstellung von Detailrichtlinien für sichere Softwareentwicklung und den sicheren Betrieb der Applikationen, die Koordination von Sicherheitsaudits, das Design und die Koordination des Betriebs der Sicherheitsinfrastruktur sowie die Verantwortung für das Betriebsbudget. Als Projektleiter und Architekt hat er mehrere Projekte im Bereich IT-Sicherheit und IT-Infrastruktur durchgeführt. Maximilian Dermann war als Berater und Softwareentwickler im Bereich Webapplikationssicherheit an insgesamt vier Online-Banking und -Brokerage Projekten beteiligt. Er ist aktives Mitglied des OWASP German Chapters und einer der Co-Autoren des Best Practices Guide für Web Application Firewalls.<br />
<br />
=== Kickstart für sichere Webanwendungen ===<br />
:Der Ansatzpunkte und Maßnahmen zur Absicherung von Webanwendungen gibt es viele - doch wo fange ich an und was ist der für meinen ganz speziellen Fall beste Weg? <br />
<br />
:Der Vortrag gibt einen kompakten Überblick über die verschiedenen Ansatzpunkte zur Absicherung von Webanwendungen, diskutiert Vor- und Nachteile und stellt Erfahrungen aus der Praxis dar.<br />
:[http://www.owasp.org/images/0/0d/OWASP-Germany_2008_Kickstart_fuer_sichere_Webanwendungen.pdf Download Präsentation]<br />
:''Über Thomas Schreiber''<br />
<br />
:Thomas Schreiber ist Geschäftsführer der [http://www.securenet.de/ SecureNet GmbH] und Berater für die Sicherheit von Webanwendungen. Seit vielen Jahren beschäftigt er sich mit Sicherheitsaspekten von Webanwendungen und hat mittlerweile Hunderte von Webanwendungen auf ihre Sicherheit hin untersucht. Er ist Coautor des vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen [http://www.bsi.de/literat/studien/websec/WebSec.pdf Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen].<br />
<br />
=== SOA Sicherheitsarchitektur ===<br />
:Der Einsatz von SOA erfordert ein neues Sicherheitsmodell, da viele altbewährte Lösungen für Benutzermanagement, Authentifizierung, Autorisierung usw. nicht mehr funktionieren. Auch kommen neue Anforderungen hinzu, wie z.B. die Föderation und die Integration mit PKI-Systemen. Dieser Vortrag zeigt die spezifischen Sicherheitsprobleme von SOA von einer Architekturperspektive. Wichtige Standards für SOA, wie Policy Enforcement Point (PEP), Policy Decision Point (PDP), SAML, XACML, und deren konkrete Benutzung werden besprochen. Die Bedeutung von Rollenmodelle und die flexible Einbindung von solchen in SOAs wird auch behandelt.<br />
:[http://www.owasp.org/images/1/14/OWASP_Germany_2008_SOA_Sicherheitsarchitektur.pdf Download Präsentation]<br />
:''Über Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel.<br />
<br />
=== OWASP Best Practices zum Einsatz von Web Application Firewalls ===<br />
:Der Vortrag stellt den vom OWASP Germany Chapter erstellten ''OWASP Best Practices zum Einsatz von Web Application Firewalls'' vor.<br />
<br />
:Das Dokument wendet sich vornehmlich an technische Entscheider - speziell Betriebsverantwortliche, Sicherheitsverantwortliche, Applikationseigner (Fachabteilung, technisch Anwendungsverantwortlicher), die den Einsatz einer WAF im Unternehmen evaluieren. Spezielles Augenmerk wurde – wo immer möglich – auf die Darstellung von Aufwandsabschätzungen gelegt – auch im Vergleich zu möglichen Alternativen wie z. B. Änderungen im Sourcecode.<br />
:[http://www.owasp.org/images/7/74/OWASP_Germany_2008_Best_Practices_Guide_zum_Einsatz_von_Web_Application_Firewalls.pdf Download Präsentation]<br />
:''Über Alex Meisel''<br />
<br />
:Bereits in seiner Informatik-Diplomarbeit beschäftigte Alex Meisel sich mit der Abwehr und der Rückverfolgung von sog. Denial-of-Service- Attacken. Bei einem Schweizer IT-Dienstleister war er als Experte für Web-Sicherheit tätig; anschließend betreute er beim größten europäischen Internet-Knotenpunkt LINX (London Internet Exchange) Mitglieder in Fragen der Netzwerk-Sicherheit. Nach seiner dreijährigen Tätigkeit als Senior Consultant für Design und Implementierung von großen Web-Farmen inkl. Security-Audits bei einem führenden Hersteller von Web-Servern wechselte er als Leiter Projektmanagement zur Realisierung von Web-Applikations-Lösungen im SAP-Umfeld zum gleichen Fortune-500-Unternehmen.<br />
<br />
=== Measuring the Security of Web Applications ===<br />
:Software ist unsicher! "Security Researcher" publizieren nahezu täglich Sicherheitsmängel in Softwareapplikationen in einschlägigen Mailinglisten und Internetforen. Und das bereits seit Jahrzehnten. Softwaresicherheit wird immer wichtiger mit der zunehmenden Vernetzung und Kritikalität der Daten. Daher reservieren Softwarehersteller oft signifikante (aber trotzdem begrenzte) Budgets zur sicheren Softwareentwicklung. Um diese Budgets werben Dienstleister und Hersteller von verschiedensten Sicherheitsprodukten. Oft halten diese Dienste und Produkte nicht das, was das Marketing verspricht. Für Softwarehersteller stellt sich die Frage in welche Prozesse und Technologien in welchem Umfang investiert werden sollte: "Wieviel Sicherheitszuwachs bekommt man für wieviel Aufwand"? In diesem Vortrag beleuchte ich Wege und Irrwege, um dieses Kosten-Nutzen-Verhältnis abzuschätzen und zu optimieren. <br />
:[http://www.owasp.org/images/b/bc/OWASP_Germany_2008_Measuring_the_Security_of_Web_Applications.pdf Download Präsentation]<br />
:''Über Sebastian Schinzel''<br />
<br />
:[http://www.sebastian-schinzel.de/ Sebastian Schinzel] ist seit mehr als fünf Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsapplikationen. Bei [http://www.virtualforge.de/ Virtual Forge] führt er Sicherheitsuntersuchungen von SAP-Geschäftsapplikationen durch und berät SAP-Kunden zu sicherer Softwareentwicklung.<br />
<br />
=== Security-by-Design durch Einsatz von MVC ===<br />
:Das Frontend von Anwendungen in Model, View und Controller (MVC) zu unterteilen ist sicher eines der wichtigsten Architekturpatterns bei der Entwicklung von Webanwendungen. Für alle relevanten Programmiersprachen existieren hierfür mittlerweile zahlreiche mächtige Frameworks, wie z.B. Struts und Spring MVC für Java oder Symfony für PHP.<br />
<br />
:Neben dem naheliegenden Nutzen für die Strukturierung der Anwendung besitzen MVC-Frameworks aber auch zahlreiche, oft wenig bekannte Möglichkeiten, die es selbst unerfahrenen Entwicklern ermöglichen, nachhaltig sichere Webanwendungen zu erstellen. Weitergehende Sicherheit wie CSRF-Schutz lässt sich mit speziellen MVC-Plugins, wie HDIV, auch nachträglich, in die Anwendung integrieren. <br />
<br />
:Neben diesen Möglichkeiten werden in diesem Vortrag aber auch grundlegende Sicherheitsprobleme betrachtet, die sich mit dem Einsatz von MVC-Frameworks ergeben.<br />
:[http://www.owasp.org/images/d/d7/OWASP_Germany_2008_Security_by_Design_durch_Einsatz_von_MVC.pdf Download Präsentation]<br />
:''Über Mirko Richter und Matthias Rohr''<br />
<br />
:Mirko Richter ist Entwickler sowie Berater für Softwarearchitektur und –sicherheit bei der [http://www.securenet.de/ SecureNet GmbH] in München. Matthias Rohr ist Berater für Webapplikationssicherheit bei der SecureNet GmbH in München.<br />
<br />
=== Server- und Browser-basierte XSS Erkennung ===<br />
:Wenn man sich HTTP Verkehr von Web Applikationen unter dem Gesichtspunkt des Erkennens von eingeschleustem JaveScript-codes betrachtet, fallen zwei einfache Zusammenhänge ins Auge:<br />
<br />
:* Die Menge aller von einer Web Applikation legitim verwendeten JavaScripte ist stark eingeschränkt, was sowohl in Anzahl wie auch in Varianten betrifft, und ist somit maschinell erfassbar. <br />
:* Es gibt einen klaren Zusammenhang zwischen den Parametern eines eingehenden HTTP Requests und den (eventuellen) reflected XSS Scripten, die in der resultierenden Web Seite enthalten sind.<br />
<br />
:Basierend auf diesen beiden Beobachtungen wurden an den Universitäten Hamburg und Passau zwei Detektoren entwickelt, die in der Lage sind XSS Angriffe zu erkennen. Der Vortrag wird beide Erkennungsmethoden vorstellen und aufzeigen wie wir diese auf der Server-seite [1] sowie im Browser [2] umgesetzt haben.<br />
<br />
:Links:<br />
<br />
:[1] Martin Johns, Bjoern Engelmann, Joachim Posegga: XSSDS:<br />
:Server-side detection of cross-site scripting attacks, in Annual Computer Security Applications Conference (ACSAC '08), December 2008, http://databasement.net/docs/2008_ACSAC_johns_Engelmann_Posegga_XSSDS.pdf<br />
<br />
:[2] Jeremias Reith, noXSS, Firefox extension, http://www.noxss.org/<br />
<br />
:[http://www.owasp.org/images/9/9f/OWASP_Germany_2008_Server_und_Browser_basierte_XSS_Erkennung.pdf Download Präsentation]<br />
:''Über Martin Johns und Jeremias Reith''<br />
<br />
:Martin Johns ist wissenschaftlicher Mitarbeiter an der Universität Passau, wo er im Bereich Web- und Software-Sicherheit forscht und gerade den finalen Schliff an seine Doktorarbeit bringt. Vor seinem Eintritt in die akademische Welt, wirkte er als Software Entwickler in verschiedenen Firmen, wie z.B. Infoseek Deutschland, TC Trustcenter und der SAP AG.<br />
<br />
:Jeremias Reith studiert seit 2002 Informatik mit dem Schwerpunkt IT Sicherheit an der Universität Hamburg und arbeitet ausserdem als System-Engineer für ein international agierendes Medienhaus. Momentan schreibt er seine Diplomarbeit mit dem Thema "Reliable reflective XSS detection on the client side" und widmet sich in seiner Freizeit der Firefox-Erweiterung noXSS welche vor XSS-Angriffen schützen soll.<br />
<br />
=== Cross-Site Scripting Filter Evasion ===<br />
:Die Darstellung seiner Individualität ist einer der Schlüsselfaktoren, um im Web 2.0 Business erfolgreich tätig zu sein. Aus diesem Grund erlauben viele Web 2.0 Anwendungen Ihren Benutzern sich freizügig zu präsentieren. Aber diese Praxis erhöht die Risikoanfälligkeit von Cross-Site Scripting Schwachstellen. Der Vortrag untersucht diverse Blacklist- und Whitelist-Ansätze und wie solche Filterregeln umgangen werden können.<br />
:[http://www.owasp.org/images/0/0f/OWASP_Germany_2008_Cross_Site_Scripting_Filter_Evasion.pdf Download Präsentation]<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum deutschen IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
=== Learning of Positive Security Models for Web-Applications ===<br />
<br />
:In vielen Bereichen haben maschinelle Lernverfahren bereits einen großen Einfluß genommen. SPAM-Bekämpfung und Anomalie-basierte Intrusion-Detection wären ohne KI-Ansätze wie Text-Klassifizierung, Clustering oder Outlier-Detection nicht möglich. Im Bereich der Web-Sicherheit gibt es dagegen bisher nur sehr wenige wissenschaftliche Arbeiten, maschinelles Lernen zu verwenden. Auf der anderen Seite werben immer mehr Hersteller von Web Application Firewalls mit selbst-lernenden Systemen ohne Details preiszugeben.<br />
<br />
:Der Vortrag gibt einen Überblick über die (wenigen) wissenschaftlichen Arbeiten zum Thema Web-Sicherheit aus dem Blickwinkel des maschinellen Lernens und stellt ein Projekt vor, das versucht, positive Sicherheitsmodelle für WAF-Systeme aus HTTP-Traffic automatisiert zu erstellen.<br />
:[http://www.owasp.org/images/c/c1/OWASP_Germany_2008_Learning_Positive_Models.pdf Download Präsentation]<br />
:''Über Christian Bockermann''<br />
<br />
:Christian Bockermann ist derzeit wissenschaftlicher Mitarbeiter an der Technischen Universität Dortmund. Nach seiner Diplomarbeit zum Thema "Anomalie-Erkennung in Web-Anwendungen" promoviert er zur Zeit am Lehrstuhl für künstliche Intelligenz im Bereich Web-Sicherheit. Neben einigen Projekten zur Web-Sicherheit betreibt er die Seite jwall.org [http://jwall.org], die einen Teil der Tools bereitstellt, die im Rahmen der Forschungsarbeiten bisher entwickelt wurden.<br />
<br />
=== WMAP - Metasploit 3.2 Module für Pentester von Webapplikationen ===<br />
:War das Metasploit Framework bisher vor allem für Penetrationstest auf Infrastrukturebene interessant, so wurden mit der Einbindung des WMAP Projekts von Efrain Torres eine Reihe von Modulen vorgestellt welche auch bei der Untersuchung einer Webapplikation nützlich sind. Dieser Vortrag zeigt die grundlegende Arbeitsweise mit diesen Modulen.<br />
:[http://www.owasp.org/images/b/b7/OWASP_Germany_2008_WMAP_Metasploit_Module_fuer_Pentester_von_Webapplikationen.pdf Download Präsentation]<br />
:''Über Hans-Martin Münch''<br />
:Hans-Martin Münch arbeitet als Security Consultant bei der Firma it.sec, wo er sich hauptsächlich mit der Durchführung von Penetrationstests befasst. <br />
<br />
=== Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software ===<br />
:Im Rahmen Forschungsprojektes [http://www.secologic.de Secologic] wurden von SAP und Commerzbank u.a. "Goldene Regeln" jeweils für Entwickler, Auftraggeber, Architekten, Tester und IT- Projektleiter entwickelt, die dazu beitragen sollen, die Zahl sicherheitsrelevanter Fehler in Software systematisch zu reduzieren. Das Projekt richtete sich insbesondere an den Mittelstand, wo spezialisiertes Wissen zur Sicherheit von IT-Anwendungen nicht vorausgesetzt werden kann. Die Besonderheit: Nicht nur die Entwickler, sondern auch die (internen oder externen) Auftraggeber werden in die Pflicht genommen. Denn hier sitzt der erste wichtige "Hebel" für die Verbesserung der Softwarequalität.<br />
:[http://www.owasp.org/images/e/e2/OWASP_Germany_2008_Goldene_Regeln_zur_Entwicklung_sicherer_Software.pdf Download Präsentation]<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier arbeitet als Senior Security Consultant bei der [http://www.commerzbank.de Commerzbank AG] und ist Board Member des German OWASP Chapters.<br />
<br />
:''Über Patrick Hildenbrand''<br />
<br />
:Patrick Hildenbrand ist Solution Manager SAP Business ByDesign mit den Schwerpunkten Security, Identity und Access Management und B2B Kommunikation.<br />
<br />
:''Über Tom Schröer''<br />
<br />
:Tom Schröer koordiniert bei der [http://www.sap.com SAP AG] die internen Richtlinien für das sichere Programmieren.<br />
<br />
== Zimmerkontingente ==<br />
<br />
Veranstaltungshotel:<br />
<br />
'''Steigenberger Airport Hotel Frankfurt'''<br />
<br />
Unterschweinstiege 16<br />
<br />
D-60549 Frankfurt am Main<br />
<br />
Internet: www.airporthotel.seigenberger.de<br />
<br />
Zimmerreservierung unter folgendem Abrufkontingent reservierbar<br />
<br />
Telefon: 0049-69-6975 24 26 oder 0049-69-6975 24 27<br />
<br />
Stichwort: OWASP<br />
<br />
Kosten pro Teilnehmer und Übernachtung: 165 Euro ohne Frühstück auf Selbstzahlerbasis<br />
<br />
<br />
<br />
<br />
<br />
Alternative Hotels stehen wir folgt zur Auswahl:<br />
<br />
'''NH Frankfurt Rhein Main'''<br />
<br />
Kelsterbacher Strasse 19-21<br />
<br />
65479 Raunheim<br />
<br />
Internet: www.nh-hotels.com<br />
<br />
Zimmerreservierung unter folgendem Abrufkontingent reservierbar<br />
<br />
Telefon: 0049-6142-99 07 89 <br />
<br />
Stichwort: OWASP<br />
<br />
Kosten pro Teilnehmer und Übernachtung: 128 Euro ohne Frühstück auf Selbstzahlerbasis<br />
<br />
Direkter Hotel Shuttle zum Airport und von dort mit Shuttle zum Steigenberger Airport Hotel Frankfurt<br />
<br />
<br />
<br />
HRS Buchungssysteme:<br />
<br />
Tel 0049-221-2077 600<br />
<br />
Internet: www.hrs.de<br />
<br />
Hier können Sie aus einer großen Auswahl direkt Ihr Hotel aussuchen und gemäß Ihren Ansprüchen gezielt wählen.<br />
<br />
<br />
<br />
<br />
Zurück zur [[Germany|OWASP Germany Homepage]].<br />
<br />
[[Category:Germany]]</div>Sebastian Schinzelhttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=71850OWASP AppSec Germany 2009 Conference2009-10-20T16:54:18Z<p>Sebastian Schinzel: /* Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen */</p>
<hr />
<div>__NOTOC__ <br />
<br />
[[Image:Germany.gif|right]]Das [[Germany | OWASP German Chapter]] lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen. <br />
<br><br />
<br />
=== Sponsoren ===<br />
<br />
Wir danken unseren Sponsoren:<br />
<br />
<br />
{{Template:OWASP_Germany_2009_Sponsors}}<br />
<br />
<br><br />
<br />
==== Agenda ====<br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Montag, 12.10.09<br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 19:30-open end <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen. <br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen. <br />
<br />
--- Für das leibliche Wohl ist gesorgt. --- <br />
<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<br />
<br> <br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Dienstag, 13.10.09<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 08:30-09:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Registrierung und Kaffee<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:00-09:15 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Begrüßung'''<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:15-09:50 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Vorstellung des Open Web Application Security Project (OWASP) | '''Vorstellung des Open Web Application Security Project (OWASP)''']]<br />
<br />
''Dr. Boris Hemkemeier, OWASP German Chapter Board Member''<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:50-10:25<br> <br />
| align="left" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
[[#OWASP Education Project | '''OWASP Education Project''']]<br />
<br />
''Martin Knobloch'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:25-10:45 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:45-11:20<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Praktische Erfahrung mit dem Secure Software Lifecycle | '''Praktische Erfahrung mit dem Secure Software Lifecycle''']]<br />
<br />
''Dr. Bruce Sams, OptimaBit GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:20-11:55 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen | '''Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen''']]<br />
<br />
''Sebastian Schinzel, Virtual Forge'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:55-12:30<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Adaptive Sicherheit durch Anomalieerkennung | '''Adaptive Sicherheit durch Anomalieerkennung''']]<br />
<br />
''Hartmut Keil, AdNovum Informatik AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 12:30-13:30 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Mittagspause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 13:30-14:05 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Design Bugs | '''Design Bugs''']]<br />
<br />
''Alexios Fakos, n.runs AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:05-14:40 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#JavaScript from Hell - advanced client side injection techniques of tomorrow | '''JavaScript from Hell - advanced client side injection techniques of tomorrow''']]<br />
<br />
''Mario Heiderich'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:40-15:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:00-15:35 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Pentestvorbereitung: Sitemap für Webanwendungen (Tools) | '''Pentestvorbereitung: Sitemap für Webanwendungen (Tools)''']]<br />
<br />
''Achim Hoffmann, SecureNet GmbH''<br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:35-16:10 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Projektierung der Sicherheitsprüfung von Webanwendungenen| '''Projektierung der Sicherheitsprüfung von Webanwendungenen''']]<br />
<br />
''Tobias Glemser, Tele-Consulting GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 16:10-16:25 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Schlusswort'''<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''<br>''</div> <br />
<br><br />
<br />
== Die Vorträge im Einzelnen ==<br />
:* [http://www.owasp.org/images/d/d4/OWASPAppSecGermany2009-Alles_ueber_OWASP.pdf Vorstellung des Open Web Application Security Project]<br />
:* [http://www.owasp.org/images/5/51/OWASPAppSecGermany2009-Education_Project.pdf OWASP Education Project]<br />
:* [http://www.owasp.org/images/e/ef/Praktische_Erfahrung_mit_dem_SDLC.pdf Praktische Erfahrung mit dem Secure Software Lifecycle]<br />
:* [http://www.owasp.org/images/3/33/Schwachstellen_in_SAP_Web_Anwendungen.pdf Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen]<br />
:* [http://www.owasp.org/images/6/6d/Adaptive_Sicherheit_durch_Anomalieerkennung.pdf Adaptive Sicherheit durch Anomalieerkennung]<br />
:* [http://www.owasp.org/images/5/5d/2009-Design_Bugs.pdf Design Bugs]<br />
:* [http://www.owasp.org/images/5/58/JavaScript_aus_der_Hoelle.pdf JavaScript aus der Hölle - advanced client side injection techniques of tomorrow]<br />
:* [http://www.owasp.org/images/a/a0/Projektierung_Sicherherheitspruefung_von_Webanwendungen.pdf Projektierung der Sicherheitsprüfung von Webanwendungenen]<br />
:* [http://www.owasp.org/images/e/ed/Pentestvorbereitung_Sitemapping.pdf Pentestvorbereitung: Sitemap für Webanwendungen (Tools)]<br />
<!-- password for all .pdf --><br />
<br />
=== Vorstellung des Open Web Application Security Project (OWASP) ===<br />
<br />
:Eine kurze Vorstellung des German Chapters, der OWASP und einige Ihrer Projekte.<br />
:Nützliche Links aus dem Vortrag:<br />
<br />
::* Das [[Germany | OWASP German Chapter]] <br />
::* Die [[OWASP_German_Chapter_Stammtisch_Initiative | OWASP Stammtische]]<br />
::* [http://www.google.com/reader/public/atom/user/16712724397688793161/state/com.google/broadcast Moderated AppSec News Feed]<br />
::* [http://itunes.apple.com/WebObjects/MZStore.woa/wa/viewPodcast?id=300769012 OWASP Podcast] (iTunes Link)<br />
::* [http://www.owasp.tv OWASP TV] mit Aufzeichnungen von Vorträgen der großen OWASP AppSec Conferences<br />
::* [http://www.owasp.org/index.php/Category:OWASP_Project OWASP Projekte sortiert nach Release-Qualität]<br />
<br />
<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier ist Board Member des OWASP German Chapters. Er arbeitet als Principal Security Consultant bei der [http://www.commerzbank.de Commerzbank AG].<br />
<br />
=== OWASP Education Project ===<br />
:Die OWASP ist eine schier unerschöpfliche Quelle an Informationen zu fast allem, was die Sicherheit von Softwareanwendungen betrifft. Die Anzahl Projekte zu Tools und Dokumentationen wächst und wächst. Wo finde ich was zu welchem Thema? Was muss man und was sollte man wissen?<br />
<br />
:''Über Martin Knobloch''<br />
<br />
:Martin Knobloch ist Security Consultant bei Sogeti Nederland B.V., wo er die Arbeitsgruppe zur Anwendungssicherheit PaSS gegründet hat und leitet. Daneben ist Martin Mitglied des Niederländischen Chapter Board und trägt an meheren OWASP Projekten bei. Es ist Project Lead des OWASP Boot Camp, OWASP CTF, OWASP Speaker Project (Speaker Bureau) und OWASP Education Projekt. Martin ist aktives Mitglied des OWASP Global Education Committee.<br />
<br />
=== Praktische Erfahrung mit dem Secure Software Lifecycle ===<br />
:Fast 80% aller bekannten Sicherheitslücken haben ihren Ursprung in Anwendungen oder Infrastruktur-Komponenten wie zum Beispiel Web-Server und Application Server. Dies gilt für alle Arten von Software, egal ob selbstentwickelt, extern entwickelt, oder out-of-the-box-Standard-Software. Bekannte einzelne Maßnahmen wie Penetrationstests, Audits, Code-Reviews, usw. können helfen, aber sie müssen als Teile des "Secure Software Lifecycle" integriert werden, um am wirksamsten sein. <br />
<br />
:In dieser Präsentation erfahren Sie mehr über die effektivste Strategie für die Schaffung eines funktionierenden „Secure Software Lifecycle“. Die Beispiele sind aus der Praxis der Umsetzung des „Secure Software Lifecycle“ bei großen deutschen Unternehmen in den letzten Jahren. Sie werden sehen, wie man Kosten und Nutzen abschätzen kann und werden verstehen, wie die komplexen Puzzleteile zusammenpassen. Auf der Grundlage von konkreten Beispielen, erhalten Sie ein "Big Picture" der Sicherung der Software vor, während und nach der Entwicklung. <br />
<br />
:''Über Dr. Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel.<br />
<br />
=== Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen ===<br />
<br />
:Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers (WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die Entwicklung. <br />
<br />
: In diesem Vortrag stelle ich vor, wie man sichere Web-Anwendungen mit BSP entwickelt. Ich zeige weiterhin, wie Entwickler gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting, SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man die Schwachstellen im Laufe eines Code Audits entdecken kann.<br />
<br />
:''Über Sebastian Schinzel''<br />
<br />
:[http://www.sebastian-schinzel.de/ Sebastian Schinzel] ist seit mehr als sechs Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsanwendungen. Bei [http://www.virtualforge.de/ Virtual Forge] führt er Sicherheitsuntersuchungen von SAP-Geschäftsanwendungen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. Er ist Co-Autor des Buchs [http://www.sap-press.de/2037 "Sichere ABAP-Programmierung" (SAP-Press 2009)].<br />
<br />
=== Adaptive Sicherheit durch Anomalieerkennung ===<br />
<br />
:Weil die Funktionalität von Webapplikation stetig ausgebaut wird und zunehmend auch kritische Daten und Geschäftsprozesse damit gehandhabt werden, gehören Angriffe auf Webapplikationen zu den grössten aktuellen Sicherheitsproblemen. Zum Schutz vor solchen Bedrohungen kommen Web-Application-Firewalls (WAFs) zum Zuge. Aktuelle Komponenten setzen dabei auf ein Blacklist- oder Whitelist-Modell, welches mittels konfigurierbarer Regelsets durchgesetzt wird. Neuere Entwicklungen im Bereich von Whitelisting wie etwa URL- oder Form-Encryption figurieren auch unter dem Begriff “dynamisches Whitelisting”. Diesen Ansätzen sind diverse Grenzen gesetzt: Der Konfigurationsbedarf wird aufgrund der Komplexität heutiger Web-Anwendungen deutlich erhöht, Blacklist-Ansätze sind machtlos gegen “Zero-Day Exploits”, und sämtliche heutigen Ansätze greifen bei “Rich Internet Applications” (RIAs) und AJAX-Applikationen zu kurz. So auch dynamisches Whitelisting, welches mit JavaScript generierte URLs, Forms und Cookies nicht oder nur begrenzt handhaben kann.<br />
<br />
:Neue, innovative Techniken versprechen jedoch Abhilfe: So können mittels Anomalieerkennung Attacken auch ohne komplexe Konfiguration erkannt werden und mittels einer vertieften Analyse des Request- und Response-Bodys ist es möglich, RIAs zu schützen. Ein solcher Ansatz wird von AdNovum verfolgt und in dieser Session vorgestellt.<br />
<br />
:''Über Hartmut Keil''<br />
<br />
:Hartmut Keil ist diplomierter Physiker und Senior Software Engineer bei der AdNovum Informatik AG, einer Software-Engineering-Firma mit Sitz in Zürich. Sein Fokus liegt auf der Entwicklung von securityrelevanten Middlewarekomponenten wie Reverse-Proxies, Web-Application-Firewalls und Authentifizierungsservern.<br />
<br />
=== Design Bugs ===<br />
<br />
:oder wenn aus einem Marketing oder Usability Feature ein Sicherproblem entsteht...<br />
:In dem Vortrag werden "unpopuläre" Fehler besprochen, die während der Design Phase eines Entwicklungszykluses zu erkennen sind und entsprechend behandelt werden können. Diese Probleme werden durch veröffentlichte Vorfälle belegt und erörtert.<br />
<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
=== JavaScript from Hell - advanced client side injection techniques of tomorrow ===<br />
<br />
:Der Talk befasst sich mit dem Thema JavaScript im Kontext von Angriffen gegen Web-Applikationen, Malware und Überwindung von Filtern. Neben einem Überblick über bekannte Verschleierungstechniken für JavaScript Payload dreht sich der Talk ebenso um Verfahren verschleierten Code in Klartext umzuwandeln. Final wird das Thema Malware von morgen angesprochen - Verschleierungtechniken die sich nicht mehr ohne weiteres umkehren lassen, sich selbst verändernder Code und spezielle Verfahren zur Umgehung von Filtern in WAFs und anderen Defensiv-Systemen.<br />
<br />
:''Über Mario Heiderich''<br />
:Mario Heiderich ist derzeit wohnhaft in Köln, arbeitet als Freelancer im Bereich Websecurity für diverse deutsche und internationale Firmen und hat große Freude an der Firebug Konsole.<br />
<br />
=== Pentestvorbereitung: Sitemap für Webanwendungen (Tools) ===<br />
<br />
:Um sich Klarheit über den Stand der Sicherheit einer Webanwendung zu verschaffen, ist ein -mehr oder weniger umfassender- Penetrationstest geeigent, manchmal sogar unumgänglich. Ein Penetrationstest kann wichtige Erkenntnisse über vohandene Schwachstellen liefern. Je nach Schutzbedarf der Anwendung und dem Risiko, das die Schwachstellen bieten, kann eine Kosten-Nutzen-Abwägung erfolgen, um die Schwachstellen ggf. zu beheben.<br />
:Bei der Projektierung eines Penetrationstests stellt sich für Auftraggeber und Pentester die Frage, "was" und "wieviel" denn zu testen ist. Bei umfangreichen Anwendungen ist es daher notwendig, ein Profil des Testgegenstandes zu erstellen. Daraus ergibt sich zum einen der Testumfang (Quantität) und zum anderen die eigentlichen Testpunkte (Qualität) - und damit insgesamt auch die Kosten.<br />
:In diesem Beitrag werden für die vermeintlich einfache Aufgabe: "Profil (Sitemap) erstellen" zum einen die Schwierigkeiten beschrieben, die damit verbunden sind, und zum anderen Tools, die dabei unterstützend eingesetzt werden können.<br />
<br />
:''Über Achim Hoffmann''<br />
:Achim Hoffmann ist Senior Consultant im Bereich Web Application Security bei der [http://www.securenet.de/ SecureNet GmbH] in München. Er ist Co-Autor des ''OWASP Best Practices: Web Application Firewalls'' und von ''Sicherheit von Webanwendungen, Maßnahmen und Best Practices'' des BSI.<br />
<br />
=== Projektierung der Sicherheitsprüfung von Webanwendungenen ===<br />
<br />
:Die Prüfung der Sicherheit von Webanwendungen wird mittlerweile von vielen Unternehmen als erforderlicher Schritt anerkannt. Insbesondere für die erstmalige Prüfung ist es für den Betreiber von Webanwendungen schwierig, ein entsprechendes Projekt aufzusetzen. Es gilt, zum einen den Projektfokus sauber zu definieren, um eine Vergleichbarkeit von Angeboten zu erzielen und zum anderen die Expertise der Dienstleister möglichst transparent bewerten zu können. <br />
<br />
:Ziel dieses nicht-technischen Whitepapers ist die Darstellung von transparenten Methoden, um die Projektierung einer solchen Prüfung zu ermöglichen und den geeigneten Dienstleister zu finden. Am Whitepaper beteiligt sind sowohl Endkunden, als auch mehrere Dienstleister, so dass ein generisches Dokument entwickelt werden konnte.<br />
<br />
:[[Projektierung_der_Sicherheitsprüfung_von_Webanwendungen | Projektierung der Sicherheitsprüfung von Webanwendungen]]<br />
<br />
:''Über Tobias Glemser''<br />
<br />
:Tobias Glemser beschäftigt sich seit dem Jahr 2000 mit der Planung und Durchführung von Penetrationstests auf Web-Anwendungen. Er ist leitender IT-Sicherheitsberater bei der [http://www.tele-consulting.com Tele-Consulting security networking training GmbH].<br />
<br />
==== Veranstaltungsort ====<br />
<br />
=== Konferenzort ===<br />
CCN Ost CongressCenter Nürnberg<br />
<br />
Messezentrum<br />
<br />
90471 Nürnberg<br />
<br />
[http://www.congressing.de www.congressing.de]<br />
<br />
=== Vorträge ===<br />
<br />
Ebene 3, '''Raum Shanghai''' <br />
<br />
Das Come Together in den Pausen und die Ausstellung finden in der Galerie vor dem Raum Shanghai und dem Foyer Shanghai/Seoul statt.<br />
<br />
=== Anreise ===<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/auto/ Anreise mit dem Auto]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/bahn/ Anreise mit der Bahn und dem Öffentlichen Nahverkehr]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/flugzeug/ Anreise mit dem Flugzeug]<br />
<br />
=== NürnbergMOBIL ===<br />
<br />
'''[http://www.nuernbergmobil.de NürnbergMOBIL]''' bietet Informationen zu sämtlichen Verkehrsverbindungen, dem Stadtgeschehen und rund um den Tourismus in Nürnberg<br />
<br />
==== Vorabendveranstaltung ====<br />
<br><br />
<br />
Zwischen 19:30 und 20:00 Uhr geht es am Vorabend, dem 12.10.09, los! Alle Teilnehmer sind zum Kennenlernen, Erfahrungsaustausch, Kontakteknüpfen in lockerer Atmosphäre eingeladen (Bitte auf dem Anmeldeformular entsprechend vermerken). Für das leibliche Wohl ist gesorgt.<br />
<br />
<br />
'''Restaurant Steichele'''<br />
<br />
Knorrstraße 2-8 <br />
<br />
90402 Nürnberg <br />
<br />
Telefon: +49 (0) 911 20 22 8-0 <br />
Telefax: +49 (0) 911 22 19 14 <br />
<br />
<br />
[http://www.steichele.de Link zum Restaurant]<br />
<br />
[http://www.steichele.de/dokumente/wegbeschreibung_STEICHELE.pdf Anreise zum Restauant (pdf)]<br />
<br />
<br />
==== Anmeldung und Preise ====<br />
<br />
<br><br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
<br><br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br><br />
Auf dem OWASP-Stand der [http://www.it-sa.de/ it-sa] erhalten Sie Informationen zur OWASP und können sich fachlich austauschen.<br />
<br />
<br />
Sie finden uns am '''Stand 6-712''' ([http://www.it-sa.de/hallenplan-it-sa-2009/ Hallenplan])<br />
<br />
==== Infos für Sponsoren ====<br />
<br><br />
Es besteht die Möglichkeit zum Ausstellen und zum Logo-Sponsoring. [http://www.owasp.org/images/3/3d/OWASP_D_2009_SponsorenInfo_GHE_2009_08_19.pdf Infos für Sponsoren hier.]<br />
<br><br />
==== CfP (closed) ====<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete <br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungsframeworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
<br> '''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.''' <br />
<br />
<br> <br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br> <br />
<br />
=== Weitere Informationen ===<br />
<br />
*Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/ <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Kontakt: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision. <br />
<br />
<br> <br />
<br />
=== Topics of Interest ===<br />
<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security): <br />
<br />
*Technical talks with particular relevancy to practice. <br />
*Secure development frameworks and best practices <br />
*Security awareness programs for developers, testers, architects and business people <br />
*Security management of web based applications <br />
*Security management in outsourcing and off-shoring projects and operations <br />
*Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc. <br />
*OWASP in your enterprise or university <br />
*Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below). <br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc). <br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.''' <br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab. <br />
*Acceptance notification until 31st August, 2009. <br />
*Submission deadline for presentation slides (prefinal) 1st October, 2009 <br />
*'''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br> <br />
<br />
=== Additional information: ===<br />
<br />
*Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Contact: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<headertabs /></div>Sebastian Schinzelhttps://wiki.owasp.org/index.php?title=Best_Practice:_Projektierung_der_Sicherheitspr%C3%BCfung_von_Webanwendungen&diff=71515Best Practice: Projektierung der Sicherheitsprüfung von Webanwendungen2009-10-14T18:19:50Z<p>Sebastian Schinzel: Corrected some errors in the format</p>
<hr />
<div><!-- [[Category:OWASP Project|Projektierung der Sicherheitsprüfung von Webanwendungen]] --><br />
[[Category:OWASP Best Practice: Projektierung der Sicherheitsprüfung von Webanwendungen]]<br />
[[Category:OWASP Document]]<br />
[[Category:OWASP Download]]<br />
<br />
<!-- ab hier Export des .odt-Dokuments --><br />
<br />
<br />
=<center>'''Best Practice: Projektierung der Sicherheitsprüfung von Webanwendungen'''</center>=<br />
<br />
Version 1.01, 08. Oktober 2009<br />
<br />
Autor: [[Germany | OWASP German Chapter]] unter Mitwirkung von (alphabetische Reihenfolge):<br />
<br />
Marco Di Filippo<br />
<br />
Tobias Glemser<br />
<br />
Achim Hoffmann<br />
<br />
Barbara Schachner<br />
<br />
Dennis Schröder<br />
<br />
Feiliang Wu<br />
<br />
=== Über ... ===<br />
Dieses Dokument wurde vom [[Germany | OWASP German Chapter]] erarbeitet. Die Autoren sind Mitarbeiter von Unternehmen, die Penetrationstests von Webanwendungen durchführen, bzw. auf Kundenseite tätig sind und die Projektierung übernehmen.<br />
<br />
=== Autoren (alphabetische Reihenfolge) ===<br />
Marco Di Filippomarco.difilippo@csnc.chCompass Security AG<br />
<br />
Tobias Glemsertglemser@tele-consulting.comTele Consulting security | networking | training GmbH<br />
<br />
Achim Hoffmannah@securenet.deSecureNet GmbH<br />
<br />
Barbara Schachnerbarbara.schachner@siemens.comSiemens AG - Corporate Technology<br />
<br />
Dennis Schröderd.schroeder@tuvit.deTÜV Informationstechnik GmbH<br />
<br />
Feilang Wufeiliang.wu@siemens.comSiemens AG - Corporate Technology<br />
<br />
=== Terminologie ===<br />
Die in diesem Dokument verwendeten Fachbegriffe sind nicht weiter erklärt, sondern werden als bekannt vorausgesetzt. Auf ein Glossar wurde bewusst verzichtet damit der Umfang überschaubar bleibt und sich der Inhalt auf das eigentliche Thema – die Beschreibung der Anforderungen – konzentriert.<br />
<br />
Ausführliche Begriffserklärungen und weiterführende Beschreibungen im Zusammenhang mit WAS – Web Application Security – finden sich in:<br />
<br />
* http://www.owasp.org/index.php/Category:AttackOWASP Category:Attack<br />
* http://www.owasp.org/index.php/Category:ThreatOWASP Category:Threat<br />
* http://www.owasp.org/index.php/Category:VulnerabilityOWASP Category:Vulnerability<br />
* http://projects.webappsec.org/Threat-Classification-Reference-GridWASC Web Application Security Consortium: WASC Threat Classification<br />
* http://www.webappsec.org/projects/threat/v1/WASC-TC-v1_0.de.pdfWASC Web Application Security Consortium: Web Security Threat Classification<br />
<br />
=== Lizenz ===<br />
Dieses Werk ist unter einem<br />
<br />
<center>Creative Commons Namensnennung-Weitergabe unter gleichen Bedingungen 2.0 Deutschland Lizenzvertrag</center><br />
<br />
lizenziert. Um die Lizenz anzusehen, gehen Sie bitte zu http://creativecommons.org/licenses/by-sa/2.0/de/ oder schicken Sie einen Brief an Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA.<br />
<br />
<center>[[Image:CC-15.png]]</center><br />
<br />
= Einführung und Zielsetzung dieses Dokuments =<br />
== Einführung ==<br />
Die Prüfung der Sicherheit von Webanwendungen wird mittlerweile von vielen Unternehmen als erforderlicher Schritt anerkannt. Insbesondere für die erstmalige Prüfung ist es für den Betreiber von Webanwendungen schwierig, ein entsprechendes Projekt aufzusetzen. Es gilt, zum einen den Projektfokus klar zu definieren, um eine Vergleichbarkeit von Angeboten zu erzielen und zum anderen die Expertise der Dienstleister möglichst transparent bewerten zu können.<br />
<br />
== Begriffsdefinitionen ==<br />
Kunde: Kunde im Sinne dieses Dokuments ist ein Betreiber von Webanwendungen, der auf der Suche nach einem Dienstleister (intern oder extern) für die Sicherheitsprüfung der Webanwendungen ist.<br />
<br />
Interner oder externer Dienstleister: Abteilung oder Unternehmen mit Expertise bei der Durchführung von Sicherheitsprüfungen von Webanwendungen.<br />
<br />
Webanwendung: Auf Webtechnologien aufsetzende Anwendung (z. B. klassische Internetpräsenz, Web-API, Web-Frontend von Anwendungsservern). Dies können einfache Anwendungen (meist statische Inhalte auf einem Server lagernd), aber auch komplexe dynamische Anwendungen (mehrere Server, Loadbalancer, 3-Tier-Aufbau, usw.) sein.<br />
<br />
== Zielgruppe und Zielsetzung ==<br />
Zielgruppe sind vor allem Betreiber von Webanwendungen, die eine Sicherheitsüberprüfung der Webanwendung projektieren möchten. Diesen wird mit Hilfe dieses Dokuments ein Leitfaden für den gesamten Prozess an die Hand gegeben. Dieser Leitfaden beginnt bei der Definition der Projektziele, über die Projektplanung bis hin zur Ausschreibung. Die richtige Dienstleisterauswahl hängt von vielen Faktoren ab und ist für jeden Kunden und jedes Projekt unterschiedlich sowie auf den ersten Blick für die Kundenseite selten transparent. Daher wird im Rahmen dieses Dokuments versucht eine generische Hilfestellung zu geben, um mit transparenten Methoden den geeignetsten Dienstleister zu identifizieren.<br />
<br />
== Abgrenzung ==<br />
Es wurde versucht, das Dokument so „untechnisch“ wie möglich zu formulieren und nicht den technischen Inhalt anderer Veröffentlichungen zu wiederholen. Sofern es dem Gesamtverständnis dient, wurden einige technische Erläuterungen aufgenommen, insbesondere bei der Beschreibung der Prüfarten. Diese sollen jedoch nur ein rasches Verständnis für Begrifflichkeiten und Abgrenzungen wecken und nicht in Gänze erörtert werden. Daher sind Verweise auf weitere Dokumente angegebenen, die einen hohen, technischen Detaillierungsgrad haben.<br />
<br />
== Aktualisierungen ==<br />
Das Projektteam freut sich jederzeit über konstruktives Feedback und ist bemüht, dies für künftige Versionen aufzunehmen. Die aktuelle Version des Dokuments findet sich auf der Projektwebseite. Feedback kann an einen der an der Erstellung des Dokuments beteiligten Autoren gesendet werden.<br />
<br />
= Anforderungen =<br />
Wenn die Entscheidung zur Sicherheitsüberprüfung einer Webanwendung getroffen wurde, sind aus Sicht des Kunden bereits Anforderungen bekannt, auch wenn diese ggf. noch nicht vollständig definiert sind. Ebenso bestehen meist gewisse Vorstellungen, was die Ansprüche an den Dienstleister anbelangt.<br />
<br />
Die Folgekapitel sind entsprechend aufgeteilt. Kapitel 2.1 beschäftigt sich mit den Fragestellungen, die ein Kunde in sein Lastenheft aufnehmen kann. Kapitel 2.2 stellt dar, welche Mindestanforderungen an Dienstleister gestellt werden und mit welchen Methoden das Anforderungsprofil geprüft werden kann.<br />
<br />
== Kundenseite ==<br />
Möchte man die Prüfung einer Webanwendung durchführen lassen – durch interne oder externe Kräfte – ist die Projektierungsphase für den Erfolg des Projekts entscheidend. Hier muss der Kunde verbindliche Vorgaben für den Umfang, die Art der Prüfung und die anzuwendende Methodik festlegen. Grobe Fehler in dieser Phase sind während der Projektdurchführung nur schwer auszugleichen. Darüber hinaus ist eine Festlegung auf Randbedingungen für die Vergleichbarkeit von Angeboten wichtig. Wer Wasser wünscht und nachher Wein bekommt (und bezahlen soll) ist ebenso wenig zufrieden gestellt wie im umgekehrten Fall.<br />
<br />
Die folgenden Kapitel geben daher entsprechende Hinweise auf häufige auftretende Schwierigkeiten und Empfehlungen zur Vermeidung eventueller Missverständnisse.<br />
<br />
Da auch in der Projektierungsphase bereits grundlegende Kenntnisse notwendig sind, kann es insbesondere bei der ersten derartigen Untersuchung sinnvoll sein, im Rahmen eines Workshops gemeinsam mit internen oder externen Experten eine Vorgehensweise zu entwickeln. Hinweise zur Dienstleisterauswahl finden sich in Kapitel 2.2. Sofern ein externer Dienstleister an der Entwicklung des Pflichtenhefts beteiligt ist, darf dieser zur Wahrung der Neutralität und aufgrund evtl. gesetzlicher Vorschriften nicht an der resultierenden Ausschreibung teilnehmen.<br />
<br />
=== Art der Prüfung ===<br />
Für die Projektierung und vor Allem für die Ausschreibungsphase ist es entscheidend festzulegen, welche Art der Prüfung gewünscht wird. Es gibt sehr unterschiedliche Prüfansätze, die jeweils einer unterschiedlichen Motivationslage entspringen und sich in Methodik, Umfang, Zeitaufwand, Ergebnistiefe und Aussagekraft unterscheiden.<br />
<br />
Es wird empfohlen, dass sich die Ausschreibung an anerkannten Prüfstandards oder zumindest an deren Methodik orientiert. Somit werden Vorgaben formuliert und eine grundlegende Vergleichbarkeit der Durchführung geschaffen.<br />
<br />
Ziel einer Untersuchung ist neben der Transparenz der Methoden die Wiederholbarkeit der Prüfungen. Diese Forderung sollte in den Ausschreibungsunterlagen beinhaltet sein. IT-Sicherheit wird durch Transparenz erst belastbar, ansonsten lässt sich das Ergebnis von niemand außer dem Prüfer selbst in Umfang und Aussagekraft bewerten.<br />
<br />
==== Vulnerability-Assessment (VA) / Penetrationstest der Webanwendung ====<br />
Um einen Angreifer auf eine Webanwendung zu simulieren, kann man auf die Methodik eines Vulnerability-Assessment (VA) oder Penetrationstests zurückgreifen. Ein Vulnerability Assessment wird in diesem Dokument als Untersuchung verstanden, die ausschließlich bekannte Schwachstellen identifiziert (vorwiegend toolgestützt). Wird diese Vorgehensweise durch manuelle Methoden sowie Erfahrung und Kreativität des Prüfers ergänzt, so wird dies als Penetrationstest bezeichnet.<br />
<br />
Es gibt unterschiedliche Ansätze zur Durchführung von Penetrationstests. Einige sind sehr allgemein formuliert, um auf möglichst jede IT-Umgebung anwendbar zu sein. Eine anerkannter Ansatz ist das ''Durchführungskozept für Penetrationstests'' des Bundesamts für Sicherheit in der Informationstechnik (BSI: www.bsi.bund.de/literat/studien/pentest/penetrationstest.pdf). Einen weiteren Standard bietet das ''Open Source Security Testing Methodology Manual'' der ISECOM (http://www.osstmm.org/), welches international häufig referenziert wird. Viele Beratungsunternehmen haben entsprechend ihrer eigenen Schwerpunkte teilweise eigene Methoden entwickelt, die jedoch häufig auf Standards aufbauen und zu diesen kompatibel sind.<br />
<br />
Spezifischere Beschreibungen für die Durchführung von Penetrationstests auf Webanwendungen finden sich z. B. im ''OWASP Testing Guide'' (http://www.owasp.org/index.php/Category:OWASP_Testing_Project). Ein allgemeinerer, dennoch webanwendungsspezifischer Ansatz, der mehrere Methoden vereint, ist der ''OWASP Application Security Verification Standard'' (http://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project).<br />
<br />
Eine generelle Unterscheidung wird zwischen Black- und Whitebox-Prüfungen gemacht. Dies eint die Standards und ist für die Projektierung ein entscheidender Faktor. Mit der Definition eines Kenntnis-Standes wird ein Angriffstyp simuliert.<br />
<br />
In Blackbox-Prüfungen gibt der Kunde dem Dienstleister meist keine oder nur sehr leicht zu recherchierende Informationen zur Zielanwendung. Das reine Bereitstellen von Anmeldedaten wird in diesem Dokument weiterhin als Blackbox-Test betrachtet. Blackbox-Untersuchungen sind grundsätzlich dynamische Untersuchungen, da die Tests gegen das laufende System gefahren werden. Der Quellcode steht in diesen Untersuchungen nicht zur Verfügung. Daher schlüpfen die Dienstleister hier in die Rolle des Angreifers ohne nähere Kenntnisse der IT-Infrastruktur und versuchen die Anwendung zu kompromittieren. Der Vorteil ist, dass der Kunde ein Bild darüber bekommt, wie leicht die Anwendung für Externe angreifbar ist. Der Nachteil ist, dass der Dienstleister nur mit diesem Kenntnisstand ausnutzbare Schwachstellen finden kann. Schwachstellen, die erst mit einem besseren Kenntnis-Stand (z. B. Architektur) ausgenutzt werden können, werden normalerweise nicht identifiziert. Der Kunde muss davon ausgehen, dass ein Angreifer einen frei definierten Zeitrahmen hat, nach Schwachstellen zu suchen und daher gegenüber den Dienstleistern im Vorteil ist.<br />
<br />
Weiterhin muss sich der Kunde gründlich überlegen, ob er Blackbox-Untersuchungen von Produktivsystemen in Auftrag gibt, anstatt ein Testsystem mit entsprechenden Testdaten bereitzustellen. Bestimmte Tests können das Produktivsystem selbst in einen funktional instabilen Zustand bringen oder sogar Produktivdaten löschen, ändern und für Dritte einsehbar machen. Allerdings lässt sich diese Gefahr bei der Durchführung durch die Methodik einschränken.<br />
<br />
Bei Whitebox-Untersuchungen bekommt der Dienstleister vom Kunden umfassende Informationen über die Anwendung. So lässt sich beispielsweise der Angriff aus Sicht eines externern Vertragspartners oder eines Mitarbeiters simulieren. Der Vorgehensweise sind jedoch Grenzen gesetzt, da sich z. B. der Angriffstyp Administrator aufgrund der Vielzahl der Kenntnisse eines Administrators oder gar eines Administratoren-Teams kaum real anwenden lässt.<br />
<br />
Es gilt also, für die jeweilige Bedürfnislage des Kunden eine optimale Wissenslage und einen guten Wissenstransfer der Informationen an den Dienstleister zu gewährleisten.<br />
<br />
Wichtig ist bei allen Prüfungen, dass ohne spezielle Prüfprogramme keine ernsthafte Prüfung erfolgen kann. Der Umfang von Webanwendungen übersteigt heute im Regelfall deutlich den Umfang und die Komplexität, die eine manuelle Prüfung erlauben würden. Dennoch ist die manuelle Prüfung der Webanwendung, ebenso wie die zusätzliche manuelle Verifikation aller Ergebnisse, notwendig.<br />
<br />
Der Prüfumfang kann über die reine Prüfung der Webanwendung hinaus definiert werden. So können z. B. zusätzlich netzbasierte Penetrationstests zum Einsatz kommen, die den Webserver-Dienst, Datenbankserver, Firewalls usw. mit einbeziehen. Ob eine Aufteilung, also Modularisierung der Prüfungen, sinnvoll ist, hängt vom jeweiligen Szenario ab. Insbesondere, wenn viele Dienste betrieben werden, kann die Modularisierung einen Effizienzgewinn bedeuten.<br />
<br />
Ebenfalls zu klären ist die Frage, ob Denial-of-Service-Angriffe (DoS) erfolgen sollen. Diese zielen darauf ab, durch Ausnutzung von Schwachstellen oder Flutung von Systemen bzw. Diensten mit Anfragen eine Nichterreichbarkeit herbeizuführen. Dies ist allerdings in den wenigsten Fällen wirklich sinnvoll. Besser ist es, Spezifikationen zur Nutzlast zu erstellen und die maximale Nutzlast prüfen zu lassen. Dies sollte bei richtiger Umsetzung der Spezifikationen nicht zum Ausfall führen.<br />
<br />
===== SaaS - Software as a Service =====<br />
Neben der üblichen Form, dass der Dienstleister die Sicherheitsüberprüfung explizit auf Nachfrage anbietet und erbringt, gibt es noch die Möglichkeit, dass die Sicherheitsüberprüfungen durch – mehr oder weniger – vollständig automatisierte Dienste erfolgen. Das Stichwort hierzu ist SaaS und soll im Folgenden kurz beschrieben werden. <br />
<br />
SaaS (Software as a Service) ist ein Software-Distributionsmodell, welches Software als Dienstleistung, basierend auf Internettechniken, bereitstellt (auch bekannt als ASP - Application Services Provider). D. h. die Software wird von einem Dienstleister über das Internet betrieben, womit eine Installation beim Kunden (Konsument) entfällt.<br />
<br />
Werden Sicherheitsprüfungen von Webanwendungen als automatische, regelmäßige Dienstleistung angeboten, dann handelt dabei es sich im Wesentlichen um einen genau definierten Scan der Website nach Schwachstellen.<br />
<br />
Dieses Geschäftsmodell bietet eine Alternative sowohl zum Kauf eines Scan-Tools als auch eines einmaligen Penetrationstests als Dienstleistung.<br />
<br />
Die Vorteile auf Kundenseite gegenüber der Dienstleistung per Einzelauftrag sind:<br />
<br />
* einmaliger Aufwand für die Projektierung, und dadurch kostengünstiger,<br />
* einfache Wiederholung von Sicherheitsüberprüfungen,<br />
* regelmäßige Tests, und dadurch fortlaufende Kenntnis über den Sicherheitsstand.<br />
<br />
Die oftmals versprochene enorme Kostenreduzierung gegenüber den Alternativen hat aber auch einige Nachteile in Bezug auf die Sicherheitsprüfung selbst und das damit verbundene Umfeld. Besonders beachten sollte man:<br />
<br />
* Die Einführung von SaaS kann beeinträchtigt werden, weil innerhalb des Unternehmens (Kunde) Bedenken bzgl. der Vertrauenswürdigkeit und der Kontrolle des Anbieters bestehen, da dieser automatisiert in den Besitz sensitiver Daten und Schwachstellen kommt. Hier muss also ein erhöhtes Maß an Schutzvorkehrungen gegen Missbrauch getroffen werden.<br />
* Was passiert mit den Daten des/der Tests, wenn der Dienstleister z. B. insolvent oder veräußert wird.<br />
* Die zu testenden Anwendungen müssen i. d. R. über das öffentliche Internet zugänglich sein.<br />
* Aufbau von z. B. Firewallregeln, VPN-Tunneln oder Einrichtung von speziellen Aplication-Proxies für die Scans ist ein zusätzlicher Aufwand auf Seiten des Kunden.<br />
<br />
Weiter muss sich der Kunde überlegen, ob bei regulären, sich wiederholenden Scans vorhandene IDS/IPS und insbesondere WAFs deaktiviert werden müssen oder als Teil des Gesamtsystems mitgetestet werden sollen.<br />
<br />
Eine regelmäßige, wiederholte Sicherheitsprüfung in Form von SaaS wird man wohl für die produktiven Webanwendungen einrichten. Im Gegensatz zu den üblichen Penetrationstests, die auf einer Labor- oder Referenzplattform stattfinden, ist zu beachten, dass der normale Betrieb durch den erhöhten Durchsatz gestört wird.<br />
<br />
Entscheidet man sich für SaaS, dann gelten dieselben Regeln und Empfehlungen zur Auswahl des Dienstleister und der späteren Durchführung wie bei den anderen Sicherheitsprüfungen. Es ist jedoch zu beachten, dass zusätzliche Fragen zu klären sind und damit auch zusätzliche Anforderungen an den Dienstleister gestellt werden müssen.<br />
<br />
Zusammenfassend ist besonderes Augenmerk auf folgende Anforderungen zu legen:<br />
<br />
* '''Kundenanforderungen'''<br />
** Test der produktiven Webanwendung?<br />
** Spezieller Testzugang (VPN)?<br />
** mit/ohne IDS/IPS und WAF?<br />
** Testzeiten<br />
** ist die Webanwendung automatisch scanbar?<br />
* '''Dienstleisteranforderungen'''<br />
** Schutz der Daten und Testergebnisse<br />
** Zugriff auf die Testergebnisse<br />
** fachgerechter Support bei der Auswertung der Testergebnisse<br />
** sind geeignete Scan-Tools vorhanden?<br />
<br />
==== Quellcode-Analyse ====<br />
Eine im Gegensatz zu Penetrationstests weitergehende Aussagekraft bietet eine Quellcode-Analyse. Hierbei wird auf Basis des vollständigen Quellcodes der Webanwendung eine Analyse bzgl. Schwachstellen durchgeführt. Der Quellcode ist allerdings z. B. beim Einsatz einer kommerziellen Webanwendung nicht immer verfügbar.<br />
<br />
Aufgrund des meist viele Zeilen umfassenden Codes, ist eine rein manuelle Analyse auch hier nicht mehr möglich. Wichtig bei der Durchführung von Quellcode-Analysen ist die Mächtigkeit der Tools und die Kompetenz der Prüfer, da jedes Tool vielfältig zu parametrisieren ist.<br />
<br />
==== Architektur-Analyse ====<br />
Bei der Architektur-Analyse können viele Parameter der Gesamtumgebung untersucht werden. Ziel hierbei ist es, etwaige bestehende Schwachstellen, – sei es durch den Aufbau der Umgebung, der eingesetzten Serverdienste oder sonstige Zusammenhänge – aufzuzeigen. Mögliche Betrachtungsebenen sind unter Anderem:<br />
<br />
* eingesetzte Serverdienste<br />
* Netzverbindungen intern, extern (Internet)<br />
* Verschlüsselung der Daten bei Transport und Speicherung<br />
* Aufbewahrungszeiten von erhobenen Daten<br />
* Ausfallsicherheit von Komponenten<br />
<br />
==== Prozess- und Dokumentations-Analyse ====<br />
Deutlich über die vorgenannten Analysen geht die Prozess- und Dokumentations-Analyse hinaus. Diese umfasst sowohl Vorgaben, als auch Umsetzung von Themenstellungen wie:<br />
<br />
* Entwicklervorgaben<br />
* Reaktionsvorgaben<br />
* System- und Serverdienste-Vorgaben (Härtungskonzepte, Administrationsvorgaben, Patch-Management)<br />
* Verschlüsselungsvorgaben (Kryptokonzept)<br />
<br />
Viele dieser Fragestellungen werden durch Information-Security-Management-System-Standards (ISMS) behandelt. Im deutschsprachigen Raum setzt sich hier mehr und mehr die ''ISO 27001 auf der Basis von IT-Grundschutz'' (www.gshb.bund.de), international die ''ISO/ECI 27001'' durch.<br />
<br />
=== Zielformulierung und Umgebungsbeschreibung ===<br />
==== Definition der Testziele ====<br />
Wie sich aus der Beschreibung der Prüfungsarten ableiten lässt, können Sicherheitsprüfungen von Webanwendungen auf unterschiedliche Testziele abgestimmt werden. Die folgende Matrix stellt die verschiedenen Ausgangslagen und die daraus resultierenden, empfohlenen Prüfungen dar. Die Bewertung erfolgt singulär, d. h. es wird kein aufbauendes Modell verfolgt. Es ist selbstverständlich, dass die Matrix nicht auf jede Umgebung gleich anwendbar ist, sie gibt jedoch einen Eindruck von den entstehenden Aufwänden. In der Matrix wird unterschieden zwischen dem internen Zeitaufwand, der auf Seiten des Kunden für Vorbereitung, Nachbereitung und Mithilfe während der Prüfungen eingeplant werden muss und dem externen Zeitaufwand, der auf Seiten des Dienstleisters entsteht.<br />
<br />
<br />
{| class="prettytable"<br />
| <center>'''Ziel'''</center><br />
| <center>'''Art der Prüfung'''</center><br />
| colspan="2" | <center>'''Zeitaufwand '''</center><br />
<br />
|-<br />
| <center>'''intern'''</center><br />
| <center>'''extern'''</center><br />
<br />
|-<br />
| Bekannte und ausnutzbare Schwachstellen der Webanwendung erkennen<br />
| <center>Blackbox-Test</center><br />
| <center>gering</center><br />
| <center>mittel</center><br />
<br />
|-<br />
| Verlässlicher bekannte und ausnutzbare Schwachstellen der Webanwendung erkennen<br />
| <center>Whitebox-Test</center><br />
| <center>mittel</center><br />
| <center>mittel</center><br />
<br />
|-<br />
| Bekannte und ausnutzbare Schwachstellen der Umgebung erkennen<br />
| <center>Blackbox-Test</center><br />
| <center>gering</center><br />
| <center>mittel</center><br />
<br />
|-<br />
| Verlässlicher bekannte und ausnutzbare Schwachstellen der Umgebung erkennen<br />
| <center>Whitebox-Test</center><br />
| <center>mittel</center><br />
| <center>mittel</center><br />
<br />
|-<br />
| Bekannte und potentielle Schwachstellen der Webanwendung erkennen<br />
| <center>Quellcode-Analyse</center><br />
| <center>mittel</center><br />
| <center>hoch</center><br />
<br />
|-<br />
| Infrastrukturelle Probleme erkennen<br />
| <center>Architektur-Analyse</center><br />
| <center>mittel</center><br />
| <center>mittel</center><br />
<br />
|-<br />
| Probleme im Ablauf und Schwächen in Vorgaben erkennen, ggf. Aufbau eines ISMS<br />
| <center>Prozess- und Dokumentations-Analyse</center><br />
| <center>hoch</center><br />
| <center>hoch</center><br />
<br />
|}<br />
Sofern budgetär nicht alle wünschenswerten Prüfungen durchgeführt werden können, besteht auch die Möglichkeit Worst-Case-Szenarios zu definieren und die Untersuchung auf diese Szenarios zu fokussieren.<br />
<br />
==== Beschreibung der Umgebung ====<br />
Um ein einheitliches Verständnis für intern und extern Beteiligte zu ermöglichen, ist es notwendig die zu prüfende Umgebung zu beschreiben. Die folgende Darstellung fokussiert sich primär auf technische Prüfungen der Webanwendung, ohne eine Erweiterung der Prüfungen auf die Umgebung. Es wird empfohlen, folgende Elemente zu beschreiben:<br />
<br />
* Überblick der Webanwendung: Aufgabe, unterstützter Geschäftsprozess, Rechte-Management<br/> Diese Angaben ermöglichen einem bisher nicht mit der Anwendung vertrauten Prüfer eine erste Einschätzung der Aufgabenstellung.<br />
* Zugriffswege: Internet, Intranet, VPN, Proxy<br/> Insbesondere die Sicherheitsbewertung und die Art der Tests (z. B. bei Einsatz eines Proxys) sind von diesen technischen Faktoren abhängig.<br />
* ggf. spezielle Clients: Fat-Clients, nur spezifische Browser<br/> Die Einschränkung auf spezifische Clients wirkt sich direkt auf die Testmöglichkeiten aus und erhöht meist den Umfang der Vorbereitungen.<br />
* Logik der Webanwendung: Anzahl der Rechteprofile, Session-Management<br/> Je nach Anzahl der Rechteprofile erhöhen sich die empfehlenswerten Prüfschritte, um eine Rechteausweitung in den einzelnen Berechtigungsstufen prüfen zu können.<br />
* Beschreibung des Rollenkonzeptes der Benutzer: Welches Authentisierungsverfahren liegt vor bzw. wird genutzt<br />
* Only Anonymous Users<br />
* Username/Passwort Authentisierung<br />
* Username/Passwort mit Selbst-Registrierung, User/Pass/OneTimePass oder Client-Zertifikat<br />
* Umfang und Aufbau der Webanwendung: Anzahl der Seiten/Variablen, verwendete Programmiersprache/Skriptsprache, Datenbanken<br/> Die Anzahl der Seiten bzw. Variablen ist meist nicht einfach festzustellen und ist auch nur mittelbar ein Indikator für den Prüfumfang. Die Programmiersprache hat Auswirkung auf die anzuwendenden Prüfungen, ebenso die verwendeten Datenbanken und deren Anbindung (z. B. Datenbank auf demselben Host, im selben Netz).<br />
* Funktionsweise der Webanwendung: „klassische“, Controller-/Single-URL-Anwendung<br/> Die Art und Weise wie der logische Ablauf einer Funktion in der Webanwendung technisch (programmatisch) implementiert ist, ist für den Tester wichtig, da damit die Auswahl der einsetzbaren Tools bestimmt wird und sich erhöhte Testaufwände ergeben. So ist es z. B. schwieriger eine Controller-Anwendung zu untersuchen als eine Anwendung, die für jede Funktionalität eine eigene URL hat.<br />
* Architektur: Netzdiagramm, Serverdienste, Firewall-Systeme (Netz- und Anwendungs-Firewalls)<br/> Mit Hilfe einer Übersicht der Architektur ist es möglich, technische Fallstricke zu erkennen. So ist z. B. die Frage zu klären, ob die Prüfung unter Einbeziehung der Web Application Firewall erfolgen soll oder nicht. Bezieht man die WAF mit ein, kann eine ggf. unsichere Anwendung durch die WAF als sicher attestiert werden. Sofern die WAF nicht im Fokus steht, sollte daher direkt auf die Webanwendung geprüft werden (die WAF also. gezielt abschalten/deaktivieren oder in der DMZ testen).<br />
* Datenflußdiagramm<br/> Das Datenflußdiagramm ermöglicht einen raschen Überblick über das Zusammenspiel der einzelnen Komponenten. Erfahrungsgemäß ist die erstmalige Erstellung eines solchen Diagramms bei komplexeren Webanwendungen ein aufwändiges Unterfangen und birgt die eine oder andere Überraschung, da eine solche Gesamtsicht oft fehlt und so intern unterschiedliche Meinungen über die Datenerhebung, -ablage, -weitergabe und -löschung innerhalb einer Webanwendung bestehen.<br />
<br />
=== Organisatorische Aspekte ===<br />
Fast alle Vorhaben in Wirtschaft, öffentlicher Verwaltung, Forschung und Politik werden heute in Form von Projekten verwirklicht. Um die Erfolgsaussichten eines Projektes im Bereich Sicherheitsüberprüfungen von Webanwendungen zu erhöhen werden nachfolgend wichtige Randbedingungen und kritische Faktoren des Projektmanagements erläutert. Der Ablauf eines Projekts zur Sicherheitsüberprüfung von Webanwendungen sei vereinfacht in Abbildung 1 dargestellt.<br />
<br />
[[Image:]]''Abbildung 1: Schematischer Projektablauf für die Sicherheitsüberprüfungen''<br />
<br />
==== Projektidee und Projektauslösung ====<br />
Es gibt eine Vielzahl von Gründen für Projekte im IT-Sicherheitsbereich. Für Projekte zur Sicherheitsüberprüfung von Webanwendungen ist das keineswegs anders. Die Projekte werden durch eine Idee, eine Problemstellung, eine Anfrage, eine Compliance-Anforderung, festgestellte Verstöße gegen die Sicherheitsrichtlinie oder ein ungutes Sicherheitsgefühl ausgelöst. In dieser Phase finden auf Seite des Kunden erste Gespräche über Sinn und Nutzen einer Sicherheitsüberprüfung von Webanwendungen statt. Dabei kommen auch nicht selten erste Kontakte zu wichtigen zukünftigen Projektansprechpartnern und Entscheidern zustande.<br />
<br />
==== Zieldefinition und Projektbeschreibung ====<br />
In der Vorbereitungsphase des Projektes gilt es Sachziele, Terminziele, Kostenziele und ggf. Sonderzeile zu definieren. Folglich umfasst die Projektvorbereitung auf Kundenseite sowohl inhaltliche als auch organisatorische Aspekte. Im Rahmen der inhaltlichen Projektvorbereitung ist von der Projektleitung die Projektbeschreibung zu erarbeiten. Die inhaltliche Projektbeschreibung umfasst im wesentlichen:<br />
<br />
* Ausgangssituation und Begründung: Kompakte Darstellung der Ist-Situation und der Beweggründe für die geplante Sicherheitsüberprüfung der Webanwendung aus Sicht des Kunden.<br />
* Ziele und Meilensteine: Formulierung der Ziele, die der Kunde mit der Realisierung der Sicherheitsüberprüfung erreichen möchte. An dieser Stelle ist zu berücksichtigen, dass sich eine oberflächliche Prüftiefe oder das ausschließliche Prüfen von Testsystemen negativ auf die Qualität und Aussagekraft der Sicherheitsüberprüfung auswirkt. Festlegung der Ergebnisse, die vom Auftraggeber im Rahmen des Projektes erwartet werden und der Meilensteine. So entsteht ein Projektplan und ein Pflichtenheft, in dem die Ziele so exakt definiert werden, dass eine Aufstellung von notwendigen Aufgabenblöcken und benötigten Ressourcen möglich ist.<br />
* Randbedingungen und Abgrenzungen: Formulierung von Aspekten, die bei der Projektdurchführung als Bedingungen und/oder Anforderungen zu beachten sind, beispielsweise: die Verfügbarkeit der Webanwendung und/oder Produktivsysteme die nicht dem Verantwortungsbereich des Kunden unterliegen. Festlegung von Schnittstellen, Datenflüssen, Systemen und Komponenten die zur zu überprüfenden Webanwendung gehören.<br />
<br />
Der Dienstleister kann in die Erarbeitung dieser Inhalte eingebunden werden, wenn der Kunde keine eindeutigen Angaben machen kann bzw. diese Lücken, Widersprüche oder Unstimmigkeiten aufweisen. Die organisatorischen Projektvorbereitungen gliedern sich vornehmlich in:<br />
<br />
* Teilnehmer: Auf Grund der Projektbeschreibung werden die involvierten Fachbereiche (z. B. Firewall, Netzwerk, System, Datenbank und Anwendung) ausgewählt, die auf Kundenseite an der Erarbeitung der Projektergebnisse wesentlichen Anteil haben. Die ausgewählten Mitarbeiter sind für den Zeitraum der Projektdurchführung frei zustellen. Des weiteren sind Vertretungsregelungen, Eskalationswege und korrespondierende Ansprechpartner involvierter Fachbereiche bekannt zu geben.<br />
* Projektsteuerung und Feedback: Obwohl die Projektsteuerung primär dem Kunden als Auftraggeber obliegt, erweist sich das Einbinden des Dienstleisters meist als vorteilhaft. Insbesondere für die Durchführung der Sicherheitsüberprüfung, also die einzeln aufeinander abgestimmten Aktivitäten und Phasen, sollte die Projektsteuerung an den Dienstleister übertragen werden. Des weiteren sollte an dieser Stelle ein einvernehmliches Vorgehen zur Rückmeldung von Schwachstellen und zum Umgang mit nachträglichen Härtungsmaßnahmen gefunden werden.<br />
* Ort und Zeit: Gemäß dem Projektplan ergeben sich Ort, Zeit und Anforderungen an Ressourcen wie Teilnehmer und Komponenten der Webanwendung.<br />
* Scan-Freigaben: Im Rahmen der inhaltlichen Projektvorbereitung sind die zu untersuchenden Systeme (Test- und/oder Produktivsysteme) und Komponenten festgelegt worden. Um Inkonsistenzen bei den Zielen der technischen Sicherheitsüberprüfung zwischen Kunden, Betreibern (Outsourcing) und Dienstleister zu vermeiden, sollten die Systemverantwortlichen dem Dienstleister konkrete Scan-Freigaben erteilen.<br />
* Vertraulichkeitserklärungen: Mit Hilfe von Vertraulichkeitsvereinbarungen wird der Dienstleister zu Geheimhaltung von Informationen verpflichtet. Die Definition der geheim zu haltenden Informationen obliegt den einzelnen Vertragsparteien. Die Ergebnisse, insbesondere die ermittelten Schwachstellen, sollten geheim zu haltenden Informationen sein.<br />
* Sicherheitsüberprüfungen und -erklärungen: Über die Vertraulichkeitserklärung hinaus regelt das Sicherheitsüberprüfungsgesetz Voraussetzungen und Verfahren zur Sicherheitsüberprüfung von Personen, die mit bestimmten sicherheitsempfindlichen Tätigkeiten betraut werden sollen oder bereits betraut worden sind. Die resultierenden Sicherheitserklärungen sind in drei Ausprägungseigenschaften gegliedert und kommen überwiegend im Behördenbereich zum Einsatz.<br />
* Haftung: Im Vertragsgefüge bzw. den Angeboten der Dienstleister sind meist Haftungskriterien und -beschränkungen formuliert. Die Projektleitung auf Seite des Kunden sollte die Vertragsklauseln prüfen und ggf. vor der Projektvergabe eine Optimierungen des Vertragswerks einfordern.<br />
<br />
==== Projektausschreibung ====<br />
Die Projektausschreibung durch den Kunden oder ggf. durch eine vermittelnde Instanz erfolgt meist nach den branchentypischen Gepflogenheiten des öffentlichen oder privat-wirtschaftlichen Bereichs. In dieser Phase sollte die Kundenseite den potentiellen Dienstleistern unkritische Informationen zur Angebotserstellung zukommen lassen. Neben den inhaltlichen und organisatorischen Aspekten sind für den Dienstleister im Rahmen der Projektausschreibung weiterführende u. A. folgende technische Informationen interessant:<br />
<br />
* Allgemeine Kurzbeschreibungen der Systeme bzw. Komponenten<br />
* Vereinfachte Netzwerkpläne<br />
* Vereinfachte Datenflussdiagramme<br />
<br />
==== Dienstleisterauswahl und Projektvergabe ====<br />
Die Phase der Dienstleisterauswahl kann von Kunde zu Kunde grundsätzlich unterschiedlich erfolgen. Um das Projekt möglichst optimal zu vergeben sollten die Angaben der Dienstleister nach Kapitel 2.2 für das konkrete Projekt bewertet und in entsprechender Art und Weise verglichen werden. Das sich eine oberflächliche Prüftiefe negativ auf die Qualität und Aussagekraft der Sicherheitsüberprüfung und positiv auf die Kosten auswirkt und umgekehrt sollte auf Seite des Kunden klar sein.<br />
<br />
==== Projekt-Kick-Off ====<br />
<nowiki>Im Projekt-Kick-Off werden alle Projektinformationen von allen Stellen und Instanzen an die Projektmitarbeiter weitergeleitet. Die Projektinformationen unterscheiden sich im Detaillierungsgrad und sind im Gegensatz zur Projektbeschreibung eher technischer Natur, so dass in dieser Phase dem Dienstleister meist konkrete URLs, IP-Adressen, Hostnamen, angebotene Dienste sowie detaillierte Netzwerkpläne und Datenflussdiagramme bekannt gegeben werden. Der Dienstleister schildert sein Vorgehen und den Umgang mit Rückmeldungen von gefundenen Schwachstellen, zeigt mögliche Risiken auf und weist auf nötige Scan-Freigaben der Systeme und Komponenten hin. Alle Beteiligten stimmen zusammen das Projektvorgehen ab und legen die Arbeitsweise zur Erreichung der Ziele und Meilensteine verbindlich fest. Dabei kann es durchaus zu angepassten Zielen, Meilensteine und Vorgehensweisen gegenüber der durch die Kundenseite geplanten kommen. So werden beispielsweise in Abhängigkeit von Compliance-Anforderungen (z. B. PCI DSS < Version 1.2) Produktivsysteme anstatt Testsysteme einer DoS-Attacke unterzogen, obwohl die Anforderungen an die Verfügbarkeit dies aus geschäftspolitischer Sicht verbietet.</nowiki><br />
<br />
==== Projektdurchführung ====<br />
Die Projektdurchführung erfolgt in zuvor abgestimmter Zusammenarbeit zwischen Kunde und Dienstleister. Auf der Seite des Kunden sollten dabei die involvierten Mitarbeiter dem Dienstleister die benötigten Zugänge und Berechtigungen nennen und Hintergrundinformationen sowie Rückmeldungen zu bestimmten Angriffsvektoren geben können.<br />
<br />
==== Projektabschluss ====<br />
Nach Erreichung der Ziele und Meilensteine wird ein Projekt zur Sicherheitsüberprüfung von Webanwendungen durch einen Bericht und ggf. einer Präsentation durch den Dienstleister abgeschlossen.<br />
<br />
==== Projektnachbereitung ====<br />
Nach Projektabschluss wird empfohlen die im Bericht getroffenen Einschätzungen intern mit den Verantwortlichen der Fachbereiche zu besprechen und die vorgenommenen Bewertung seitens des Dienstleisters ggf. anzupassen. Von hoher Bedeutung ist die Festlegung von Verantwortlichen zur Behebung der technischen und organisatorischen Schwachstellen.<br />
<br />
== Dienstleister-Angaben ==<br />
Die Auswahl eines geeigneten Dienstleisters erweist sich oft als sehr schwierig, da viele Faktoren eine wichtige Rolle spielen und eine echte Vergleichbarkeit der Dienstleister nicht gegeben ist. In diesem Kapitel werden daher unterschiedliche Anforderungen für verpflichtende und optionale Angaben der Dienstleister dargestellt, um dem Kunden die Möglichkeit an die Hand zu geben, verschiedene Dienstleister zu vergleichen.<br />
<br />
=== Erforderliche Angaben ===<br />
==== Unternehmensgeschichte – Alter, Spezialisierung ====<br />
Die Unternehmensbeschreibung und die Darstellung der Unternehmensgeschichte dient der Einschätzung der fachlichen Qualifikation eines Unternehmens. Relevante Angaben sind unter anderem die Beschreibung der Entstehung und der Aufbau des Unternehmens sowie ein Dienstleistungsportfolio, das darstellt, welche Aspekte der IT-Sicherheit vom Unternehmen bedient werden. Des Weiteren ist es wichtig, dass der Dienstleister einen Überblick über seine bisherige Erfahrung in den behandelten Themenbereichen vorstellt.<br />
<br />
Die Beschreibung und die Geschichte eines Unternehmens können bereits einige Anhaltspunkte für den Auftraggeber bieten, sind jedoch nicht zwingend ein Merkmal für die Qualität des Dienstleisters.<br />
<br />
Aus der Beschreibung sollte eine konkrete Spezialisierung auf das Thema Webanwendungssicherheit sowie Erfahrung auf diesem Gebiet eindeutig hervorgehen. Wird etwa das Thema Webanwendungssicherheit in der Beschreibung gar nicht erwähnt, lässt dies darauf schließen, dass die Komplexität des Themas unterschätzt und Untersuchungen nur sehr oberflächlich durchgeführt werden. Der Dienstleister sollte für das Thema ein dediziertes Team haben, das sich aus mehreren Mitarbeitern zusammensetzt. Nur dadurch kann ein Erfahrungs- und Wissensaustausch sowie eine Qualitätssicherung innerhalb des Teams erreicht werden. Bei einem Ein-Mann-Team ist außerdem zu bedenken, dass ein unerwarteter Ausfall des Mitarbeiters den Projekterfolg gefährden kann.<br />
<br />
Prinzipiell sollte der Dienstleister bereits mehrjährige Erfahrung im Themengebiet Webanwendungssicherheit haben. Wurde das Unternehmen allerdings neu gegründet oder das Thema erst kürzlich aufgegriffen, so kann auch die Erfahrung und Qualifizierung einzelner Mitarbeiter Rückschlüsse auf die Qualität des Dienstleisters geben.<br />
<br />
Enthält die Unternehmensbeschreibung auch Hinweise auf Veröffentlichungen, Mitgliedschaften in Fachorganisationen oder Zertifizierungen des Unternehmens, ist dies ein Pluspunkt.<br />
<br />
Aufgrund der entstehenden Kosten halten sich manche Unternehmen hier aber auch absichtlich zurück. Aus diesem Grund sollten diese Aktivitäten nicht vorausgesetzt werden und werden daher in Abschnitt 2.2.2 „Optionale Angaben, weiche Faktoren“ genauer erläutert.<br />
<br />
==== Qualifizierung der designierten Projektmitarbeiter (Projektteam) ====<br />
Der Erfolg eines Projektes hängt maßgeblich von der Qualifikation und der Erfahrung der einzelnen Projektmitarbeiter ab. Daher ist es besonders wichtig, dass der Dienstleister für das Projekt jene Mitarbeiter bereitstellen kann, welche den Anforderungen der zu überprüfenden Webanwendung am besten entsprechen.<br />
<br />
Der Dienstleister soll für jeden am Projekt beteiligten Mitarbeiter ein Profil vorlegen, welches die Qualifikation des Mitarbeiters widerspiegelt. Ein solches Profil sollte die folgenden Punkte beinhalten:<br />
<br />
* Ausbildung<br/> Die Schilderung des Ausbildungsweges soll dazu dienen, einen ersten Eindruck vom Mitarbeiter zu gewinnen. Sie sagt noch nichts über die Eignung des Mitarbeiters für das Projekt aus.<br />
* Projekterfahrung<br/> Diese Beschreibung sollte die Projekterfahrung in Jahren, sowie die Anzahl, die Dauer und den Typ (Quellode-Analyse/Penetrationstest) der Projekte enthalten. Sie kann Auskunft darüber geben, ob der Mitarbeiter bereits Erfahrungen aus früheren Projekten gesammelt hat, die der Kunde für die zu untersuchende Webanwendung benötigt.<br />
* Spezialisierung<br/> Hier sollte der Dienstleister auf die besonderen Fähigkeiten und Kenntnisse eines Mitarbeiters eingehen, wie z. B. bestimmte Technologien oder Programmiersprachen. Diese Informationen geben – wie die Projekterfahrungen – Aufschluss darüber, ob ein Mitarbeiter für das Projekt grundsätzlich oder gar besonders geeignet ist.<br />
* Zertifizierung<br/> Der Dienstleister sollte hier – soweit vorhanden – die Zertifizierungen des Mitarbeiters benennen. Es sei darauf hingewiesen, dass den Autoren zum Zeitpunkt des Entstehens dieses Papers keine speziellen Zertifizierungen im Umfeld der Webanwendungssicherheit bekannt waren.<br />
<br />
Neben beteiligten Mitarbeitern sollte der Dienstleister zumindest einen weiteren Mitarbeiter benennen können, der beim Ausfall eines für das Projekt zugeteilten Mitarbeiters dessen Rolle übernehmen kann.<br />
<br />
==== Darstellung der Methoden und Vorgehensweise im Projekt ====<br />
Die Darstellung der projektspezifischen Vorgehensweise und Untersuchungsmethodik des Dienstleisters soll sicherstellen, dass der Dienstleister überhaupt ein strukturiertes Vorgehen hat, das von Seiten des Kunden nachvollziehbar ist und eingeplant werden kann. Eine strukturierte Untersuchungsmethodik soll dafür sorgen, dass die Ergebnisse der Sicherheitsuntersuchung nachvollziehbar sind.<br />
<br />
In diesem Punkt sollte der Dienstleister darlegen, wie er sich den Ablauf innerhalb des Projektes vorstellt. Ein Beispielvorgehen in einem einfachen Projekt könnte etwa folgendermaßen aussehen:<br />
<br />
* Kick-Off-Meeting beim Kunden<br />
* Dokumenten-Review (bei Whitebox-Tests)<br />
* Praktische Webanwendungsuntersuchung<br />
* Berichterstellung<br />
* Präsentation der Ergebnisse beim Kunden<br />
<br />
Wichtig ist hier, dass der Dienstleister die einzelnen Phasen bereits mit Aufwandsabschätzungen und konkreten Meilensteinen hinterlegt. Pro Phase sollte außerdem definiert sein, welche Informationen vom Kunden notwendig sind, und welche Ergebnisse (z. B. Abschlussbericht) der Dienstleister liefert. Nur so kann auch der Kunde notwendige Ressourcen für das Projekt einplanen und die zeitgerechte Durchführung der Untersuchung überwachen.<br />
<br />
Des Weiteren sollte der Dienstleister für den Punkt „Webanwendungsuntersuchung“ eine genaue Methodik vorstellen, die einen Einblick gibt, wie die Tester bei ihrer Untersuchung vorgehen. Die genaue Methodik wird sich von Dienstleister zu Dienstleister unterscheiden. Wichtig ist die Analyse durch den Kunden, ob der Dienstleister seine Vorgehensweise bereits an die Vorgaben des Kunden angepasst hat und dadurch bereits in der Angebotsphase eine kundenorientierte Haltung einnehmen konnte. Typischerweise enthält die Vorgehensweise folgende Komponenten<br />
<br />
* Automatisierte Tests<br/> Mit Hilfe von kommerziellen, frei verfügbaren oder selbst entwickelten Scan-Tools können Webseiten und Webanwendungen automatisiert überprüft werden. Solche Tools können vor allem bekannte Schwachstellen in bekannten Anwendungen, einfache Anwendungsprobleme sowie Schwachstellen in Server-Software identifizieren. Automatisierte Tests können bereits in sehr kurzer Zeit auch komplexere Anwendungen abdecken und zumindest einen ersten Eindruck über den Sicherheitszustand einer Anwendung geben.<br />
* Manuelle Tests<br/> Führt ein Dienstleister automatisierte Scans durch, so werden häufig die gefundenen Schwachstellen noch einmal manuell überprüft, um False-Positives zu vermeiden. Zusätzlich dazu können weitere manuelle Tests durchgeführt werden, die auf vordefinierten und generischen „Test-Cases“ basieren oder vollständig auf der Kreativität des einzelnen Testers beruhen. Ein Dienstleister kann beispielsweise eine Liste von generischen Test-Cases (Test-Suite) besitzen, aus der die abzuarbeitenden Test-Cases je nach Aufbau und Zusammensetzung der Anwendung ausgewählt werden. Während die Ergebnisse bei Verwendung einer Test-Suite auch unter verschiedenen Testern sehr vergleichbar sein sollten, hängt die Qualität der Ergebnisse bei kreativem Testen sehr stark von den Kenntnissen und der Erfahrung des einzelnen Testers ab.<br />
<br />
Nur aufgrund der Beschreibung der Untersuchungsmethodik auf die Qualität der Untersuchungsergebnisse zu schließen, ist unmöglich. Einige wichtige Punkte sollten bei der Beurteilung allerdings berücksichtigt werden. Aufgrund der hohen Komplexität und Individualität der meisten Webanwendungen können mit automatisierten und generischen Tests nur sehr beschränkte Ergebnisse erzielt werden. Sämtliche Sicherheitsprobleme, die sich aus der individuellen Programmierung der Anwendung oder aus Problemen in der Anwendungslogik ergeben, können nur mit Hilfe von kreativen Tests, die auf die spezifische Anwendung eingehen, identifiziert werden.<br />
<br />
Daher sollte ein Webanwendungstest auf jeden Fall auch eine ausgeprägte kreative Komponente enthalten. Basis dafür sind automatisierte Scans und/oder vordefinierte Testfälle, welche eine systematische Überprüfung oberflächlicher Schwachstellen mit hoher Abdeckung ermöglichen. Werden automatisierte Scans durchgeführt, darf auf keinen Fall eine manuelle Verifikation der Ergebnisse zur Eliminierung von False-Positives fehlen. Da bei der kreativen Komponente vor allem das Wissen und die Erfahrung des Testers für die Qualität ausschlaggebend sind, muss für eine Bewertung verschiedener Dienstleister hier auf Merkmale wie Qualifikation und Erfahrung der Projektmitarbeiter, genereller Eindruck des Unternehmens und bisherige Referenzen des Unternehmens zurückgegriffen werden.<br />
<br />
Sowohl die Beschreibung der Vorgehensweise als auch der Untersuchungsmethodik sollte im Angebot nicht nur generisch aufgeführt, sondern bereits individuell an den Kunden angepasst sein. Basierend auf der jeweils zu testenden Anwendung, sollte der Dienstleister auch die eingesetzten Werkzeuge und Scan-Tools auflisten und kurz beschreiben.<br />
<br />
==== Darstellung der Projektergebnisse ====<br />
Zur Behebung und Weiterbehandlung der gefundenen Sicherheitsschwachstellen ist es für den Kunden wesentlich, in welcher Form und Qualität die Ergebnisse der Sicherheitsuntersuchung durch den Dienstleister dokumentiert werden. Daher ist es wichtig, dass der Kunde bereits vor seiner Entscheidung für einen Dienstleister einen Eindruck darüber bekommt, wie der Dienstleister seine Ergebnisse darstellt und bewertet.<br />
<br />
Zu diesem Zweck sollte der Dienstleister bereits in seinem Angebot eine Gliederungsübersicht des späteren Berichts sowie eine Beschreibung seiner Bewertungsmethode mitliefern. Die Gliederung des Berichtes sollte auf jeden Fall folgende Komponenten enthalten:<br />
<br />
* Executive Summary<br/> Die Ergebnisse und Erkenntnisse der Untersuchung sollten auf einer Seite kurz und prägnant zusammengefasst sein.<br />
* Zusammenfassung der Schwachstellen<br/> Die Anzahl, Art und Schwere der gefundenen Schwachstellen sollte an einer zentralen Stelle überschaubar sein.<br />
* Inhaltsverzeichnis<br />
* Um im Bericht zügig navigieren zu können, muss ein Inhaltsverzeichnis mit Seitenangaben vorhanden sein.<br />
* Ausführliche Beschreibung der Schwachstellen<br/> Für eine effiziente Beseitigung der Sicherheitsprobleme ist eine detaillierte Beschreibung der Schwachstellen notwendig. Diese sollte eine Kurzbeschreibung, die Auswirkung der Schwachstelle, eine Risikoeinschätzung, Referenzen und ggf. die genaue Vorgehensweise zur Ausnutzung der Schwachstelle beschreiben. Dies ist notwendig, damit ein Angriff durch den Kunden oder Anwendungsentwickler nachvollzogen und reproduziert werden kann.<br />
<br />
Um sich ein genaues Bild über den tatsächlichen Bericht machen zu können, sollte der Dienstleister idealerweise einen Beispielreport zur Verfügung stellen. Wichtig für die Bewertung eines solchen Beispielberichts ist, dass die detaillierte Beschreibung und Bewertung (z. B. Schadenshöhe und Ausnutzbarkeit) der Sicherheitsprobleme individuell auf das Einsatzszenario des Kunden angepasst ist und nicht nur Tool-generierte Ergebnisse oder generische Bewertungen erhält. Eine Schwachstelle kann beispielsweise als weniger kritisch eingestuft werden, wenn sie lediglich von sehr wenigen vertrauenswürdigen Benutzern ausgenutzt werden kann. Viel kritischer ist dieselbe Schwachstelle, wenn sie für anonyme Benutzer aus dem gesamten Internet zugänglich ist.<br />
<br />
Der Dienstleister sollte des weiteren darlegen, nach welcher Methode oder Klassifizierung er die gefundenen Schwachstellen bewertet. Hier verwenden Dienstleister häufig sehr granulare und detaillierte Bewertungen auf beliebigen Skalen (z. B. 3, 10 oder 100). Hierbei sollte allerdings im Auge behalten werden, dass ein Webanwendungstest keine Risikoanalyse ersetzen kann. Für eine Risikoanalyse sind detaillierte Angaben des Kunden notwendig, um genaue Bewertungen der Wahrscheinlichkeit und Schadenshöhe von Schwachstellen vornehmen zu können. Diese Informationen liegen häufig in einer Sicherheitsuntersuchung nicht vor. Es ist zwar wichtig, offensichtliche Rahmenbedingungen des Kunden (z. B. sehr eingeschränkter Zugriff auf unsichere Funktionalität) in die Bewertung einfließen zu lassen, allerdings kann ein Tester der Webanwendung ohne detaillierte Kenntnisse des Einsatzszenarios und der Prozesszusammenhänge in der Regel zum Beispiel keine Unterscheidung zwischen einer Eintrittswahrscheinlichkeit von 6 oder 7 (auf einer Skala von 10) treffen. Sinnvoll sind daher eher grobe Einordnungen in Sicherheitsstufen wie etwa „Hoch“, „Mittel“, „Niedrig“ oder „Informativ“.<br />
<br />
==== Zusammensetzung des Preises ====<br />
Im Angebot sollte der Dienstleister seinen Preis auf genaue Arbeitspakete aufschlüsseln. Nur so wird für den Kunden transparent, wie sich der Preis für die Sicherheitsuntersuchung zusammensetzt und wie etwa die Arbeitsschwerpunkte bei unterschiedlichen Dienstleistern gesetzt werden.<br />
<br />
=== Optionale Angaben, weiche Faktoren ===<br />
Neben den erforderlichen Angaben zum Unternehmen, der Qualifikation der Projektmitarbeiter und der Vorgehensweisen im Projekt sind auch weitere optionale Angaben von Interesse, um über die Eignung eines Dienstleisters zu entscheiden. Zu diesen zählen z. B. die Referenzen oder Referenzprojekte des Dienstleisters, seine Veröffentlichungen oder seine Mitgliedschaften bei anerkannten Organisationen.<br />
<br />
==== Referenzen/Referenzprojekte ====<br />
Referenzen und/oder Referenzprojekte können ein Hinweis darauf sein, dass andere Kunden mit dem Dienstleister zufrieden waren. Der Kunde darf sich aber nicht auf die reine Aufzählung der Referenzen oder den „großen Namen“ in den Referenzen verlassen. Erst eine persönliche Befragung der Referenzpersonen zu ihrer Zufriedenheit hinsichtlich der Projektergebnisse, der Vorgehensweise oder auch der Qualifikation der Mitarbeiter kann entscheidende Argumente für oder wider den Dienstleister liefern. Der Kunde sollte aber auch verstehen, dass der Dienstleister in manchen Fällen aus Diskretionsgründen keine Referenzen nennen kann bzw. darf. Hier könnte es sich beispielsweise um Unternehmen handelt, die in einem sensiblen Umfeld agieren (Behörden, Militär, Finanzdienstleister).<br />
<br />
==== Veröffentlichungen ====<br />
Falls der Dienstleister Veröffentlichungen, wie z. B. Fachartikel oder Security-Advisories, oder auch Vorträge auf bekannten Sicherheitsveranstaltungen vorweisen kann, sollten diese auch mitsamt einer kurzen Beschreibung angegeben werden. Der Kunde hat dadurch die Möglichkeit, die Themen kennenzulernen, mit denen sich der Dienstleister befasst, und kann so dessen Eignung für das Projekt besser beurteilen.<br />
<br />
==== Mitgliedschaften ====<br />
Die Mitgliedschaften des Dienstleisters bei IT-sicherheitsrelevanten Organisationen sollten genannt werden. Dabei sollte der Dienstleister unbedingt angeben, ob es sich um eine passive oder aktive Mitgliedschaft handelt. Eine aktive Mitgliedschaft kann auf eine Anerkennung der Expertise des Dienstleisters und seine Vorreiterrolle in dem respektiven Bereich hindeuten.<br />
<br />
==== Zertifizierungen des Unternehmens ====<br />
Der Dienstleister sollte relevante Zertifizierungen (z. B. ''ISO/IEC 27001'' oder ''ISO 9001'') seines Unternehmens nennen. Diese können ein Hinweis für ein dokumentiertes, methodisches Vorgehen bedeuten.<br />
<br />
==== Umgang mit Daten ====<br />
Es muss sichergestellt sein, dass der Austausch und die Speicherung von Dokumenten, die potentiell sensible Informationen enthalten (z. B. Quellcode, interne Dokumente des Kunden, Ergebnisse aus der Sicherheitsuntersuchung usw.), verschlüsselt erfolgt. Der Dienstleister sollte daher angeben, über welche Möglichkeiten der sicheren Kommunikation, Übertragung und Speicherung von Daten er verfügt. Der Kunde sollte überprüfen, ob die angebotenen Lösungen mit seinen eigenen kompatibel sind bzw. von ihm genutzt werden können.<br />
<br />
==== Verfügbarkeit einer Haftpflichtversicherung ====<br />
Der Dienstleister soll angeben, ob eine Haftpflichtversicherung vorhanden und in welcher Höhe diese abgeschlossen ist. Insbesondere gilt das für Projekte, bei denen Schadenersatzansprüche entstehen können. Dies kann z. B. bei Überprüfung von Produktivanwendungen der Fall sein, bei denen ein Ausfall oder eine fehlerhafte Manipulation von Daten aufgrund der Fahrlässigkeit der Penetrationstester Kosten nach sich ziehen . Solcherlei Kosten wären durch eine entsprechende Haftpflichtversicherung abgedeckt.<br />
<br />
= A Anhang =<br />
== A.1 Referenzen ==<br />
http://www.bsi.bund.de/literat/studien/pentest/penetrationstest.pdf''BSI ''Bundesamts für Sicherheit in der Informationstechnik: ''Durchführungskozept für Penetrationstests''<br />
<br />
http://www.gshb.bund.de BSI: ''IT-Grundschutz Handbuch''<br />
<br />
http://www.osstmm.org/ISECOM: ''Open Source Security Testing Methodology Manual''<br />
<br />
http://www.owasp.org/index.php/Category:OWASP_Testing_Project OWASP:'' Testing Guide''<br />
<br />
http://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project OWASP: ''Application Security Verification Standard''<br />
<br />
http://www.owasp.org/index.php/Category:Attack OWASP Category:Attack<br />
<br />
http://www.owasp.org/index.php/Category:Threat OWASP Category:Threat<br />
<br />
http://www.owasp.org/index.php/Category:Vulnerability OWASP Category:Vulnerability<br />
<br />
http://projects.webappsec.org/Threat-Classification-Reference-Grid WASC Web Application Security Consortium: WASC Threat Classification<br />
<br />
http://www.webappsec.org/projects/threat/v1/WASC-TC-v1_0.de.pdf WASTC Web Application Security Consortium: Web Security Threat Classification<br />
<br />
http://www.gesetze-im-internet.de/s_g/index.html Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes<br />
<br />
== A.2Checkliste: Anforderungen Kundenseite ==<br />
<br />
{| class="prettytable"<br />
| colspan="2" | <center>'''Anforderung'''</center><br />
| <center>'''Bemerkung / Kommentar'''</center><br />
<br />
|-<br />
| colspan="2" | '''Art der Prüfung'''<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Vulnerability-Assessment (VA) / Penetrationstest der Webanwendung<br />
<br />
Blackbox, Whitebox, Denial-of-Service<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Quellcode-Analyse<br />
<br />
Automatisierte/Manuelle Überprüfung<br />
<br />
<br />
<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Architektur-Analyse<br />
<br />
Eingesetzte Serverdienste, Netzverbindungen, Verschlüsselung der Daten, Ausfallssicherheit<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Prozess- und Dokumentations-Analyse<br />
<br />
ISMS, Regelwerke, Vorgaben/Guidelines<br />
| <br />
<br />
|-<br />
| colspan="2" | '''Zielformulierung und Umgebungsbeschreibung'''<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Definition der Testziele<br />
<br />
Art der Prüfung, Worst-Case-Szenarien<br />
<br />
<br />
<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Beschreibung der Umgebung<br />
<br />
Überblick der Webanwendung, Zugriffswege, Logik, Rollenkonzept, Umfang und Aufbau, Funktionsweise, Architektur, Datenfluss<br />
| <br />
<br />
|-<br />
| colspan="2" | '''Organisatorische Aspekte'''<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Projektidee und Projektauslösung<br />
<br />
Problemstellung, Anforderung, Sinnhaftigkeit, Nutzen<br />
<br />
<br />
<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Zieldefinition und Projektbeschreibung<br />
<br />
Ausgangssituation, Ziele und Meilensteine, Randbedingungen und Abgrenzung, Teilnehmer, Projektsteuerung und Feedback, Ort und Zeit, Scan-Freigaben, Vertraulichkeitserklärung, Sicherheitsüberprüfung von Personen, Haftung<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Projektausschreibung<br />
<br />
Informationen zur Angebotserstellung, grober technischer Überblick<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Dienstleisterauswahl und Projektvergabe<br />
<br />
Vorgang, zeitlicher Rahmen, Kommunikation<br />
<br />
<br />
<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Projekt-Kick-Off<br />
<br />
Technische Details (URLs, IP-Adressen, Hostnamen, Netzwerkpläne, Datenflussdiagramme, Testsysteme/Produktivsysteme), Vorgehensweise<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Projektdurchführung<br />
<br />
Involvierte Mitarbeiter, Berechtigungen, Abstimmung Angriffsvektoren<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Projektabschluss<br />
<br />
Bericht, Präsentation<br />
<br />
<br />
<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Projektnachbereitung<br />
<br />
Abstimmung Bewertung der Schwachstellen und Gegenmaßnahmen, Verantwortlichkeiten<br />
| <br />
<br />
|}<br />
== A.3Checkliste: Anforderungen Dienstleister-Angaben ==<br />
<br />
{| class="prettytable"<br />
| colspan="2" | <center>'''Anforderung'''</center><br />
| <center>'''Bemerkung / Kommentar'''</center><br />
<br />
|-<br />
| colspan="2" | '''Erforderliche Angaben'''<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Unternehmensgeschichte – Alter, Spezialisierung<br />
<br />
Entstehung, Dienstleistungsportfolio, Erfahrung, Spezialisierung Webanwendungssicherheit<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Qualifizierung der designierten Projektmitarbeiter (Projektteam)<br />
<br />
Ausbildung, Projekterfahrung, Spezialisierung, Zertifizierung, Möglichkeit Ersatz-Projektmitarbeiter<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Darstellung der Methoden und Vorgehensweise im Projekt<br />
<br />
Ablauf des Projekts, Beschreibung Projektphasen, Methodik der Untersuchung (automatisierte/manuelle Tests, kreative Komponente)<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Darstellung der Projektergebnisse<br />
<br />
Beispielbericht, Klassifizierung der Schwachstellen<br />
<br />
<br />
<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Zusammensetzung des Preises<br />
<br />
Aufschlüsselung in Arbeitspakete, Transparenz<br />
<br />
<br />
<br />
| <br />
<br />
|-<br />
| colspan="2" | '''Optionale Angaben, weiche Faktoren'''<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Referenzen/Referenzprojekte<br />
<br />
Projektumfang, Art des Projekts, Befragung Referenzpersonen<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Veröffentlichungen<br />
<br />
Fachartikel, Vorträge, Beschreibung des Inhalts<br />
<br />
<br />
<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Mitgliedschaften<br />
<br />
Aktive/Passive Mitgliedschaft, Rolle, Aufgaben<br />
<br />
<br />
<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Zertifizierungen des Unternehmens<br />
<br />
Art und Umfang der Zertifizierung, Gültigkeit<br />
<br />
<br />
<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Umgang mit Daten<br />
<br />
Verschlüsselung (Übertragung, Speicherung)<br />
<br />
<br />
<br />
| <br />
<br />
|-<br />
| <center>O</center><br />
| Verfügbarkeit einer Haftpflichtversicherung<br />
<br />
Versicherungsbetrag, Abdeckung<br />
<br />
| <br />
|}</div>Sebastian Schinzelhttps://wiki.owasp.org/index.php?title=OWASP_AppSec_Germany_2009_Conference&diff=71118OWASP AppSec Germany 2009 Conference2009-10-08T15:31:31Z<p>Sebastian Schinzel: /* Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen */</p>
<hr />
<div>__NOTOC__ <br />
<br />
[[Image:Germany.gif|right]]Das [[Germany | OWASP German Chapter]] lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe [http://www.it-sa.de/ it-sa] in Nürnberg statt. <br />
<br />
=== Konferenz Tag ===<br />
<br />
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen. <br />
<br><br />
<br />
=== Sponsoren ===<br />
<br />
Wir danken unseren Sponsoren:<br />
<br />
<br />
{{Template:OWASP_Germany_2009_Sponsors}}<br />
<br />
<br><br />
<br />
==== Agenda ====<br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Montag, 12.10.09<br> Kennenlernen, Erfahrungsaustausch, Networking<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 19:30-open end <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Je komplexer unsere technisierte Welt, desto wichtiger werden persönliche Kontakte! In lockerer Atmosphäre möchten wir erreichen, dass die Teilnehmer in Kontakt miteinander treten, Interessen und Erfahrungen austauschen und möglicherweise Anknüpfungspunkte finden, die über die Veranstaltung hinausreichen. <br />
Wir bitten daher alle Interessierten, sich zwischen 19.30 und 20.00 Uhr (spätestens!) am Veranstaltungsort einzufinden. Mit professioneller Unterstüzung werden wir dann zusehen, dass wir das Eis schnell brechen und nicht nur einen kommunikativen, sondern auch gemütlichen Abend verbringen. <br />
<br />
--- Für das leibliche Wohl ist gesorgt. --- <br />
<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<br />
<br> <br />
<br />
{| border="0" align="center" style="width: 80%;"<br />
|-<br />
! align="center" colspan="3" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;" | Dienstag, 13.10.09<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 08:30-09:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Registrierung und Kaffee<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:00-09:15 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Begrüßung'''<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:15-09:50 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Vorstellung des Open Web Application Security Project (OWASP) | '''Vorstellung des Open Web Application Security Project (OWASP)''']]<br />
<br />
''Dr. Boris Hemkemeier, OWASP German Chapter Board Member''<br> <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 09:50-10:25<br> <br />
| align="left" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" colspan="2" | <br />
[[#OWASP Education Project | '''OWASP Education Project''']]<br />
<br />
''Martin Knobloch'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:25-10:45 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 10:45-11:20<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Praktische Erfahrung mit dem Secure Software Lifecycle | '''Praktische Erfahrung mit dem Secure Software Lifecycle''']]<br />
<br />
''Dr. Bruce Sams, OptimaBit GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:20-11:55 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen | '''Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen''']]<br />
<br />
''Sebastian Schinzel, Virtual Forge'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 11:55-12:30<br> <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Adaptive Sicherheit durch Anomalieerkennung | '''Adaptive Sicherheit durch Anomalieerkennung''']]<br />
<br />
''Hartmut Keil, AdNovum Informatik AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 12:30-13:30 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Mittagspause<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 13:30-14:05 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Design Bugs | '''Design Bugs''']]<br />
<br />
''Alexios Fakos, n.runs AG'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:05-14:40 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#JavaScript from Hell - advanced client side injection techniques of tomorrow | '''JavaScript from Hell - advanced client side injection techniques of tomorrow''']]<br />
<br />
''Mario Heiderich'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 14:40-15:00 <br />
| align="center" colspan="2" style="background: rgb(194, 194, 194) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | Kaffeepause<br><br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:00-15:35 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Pentestvorbereitung: Sitemap für Webanwendungen (Tools) | '''Pentestvorbereitung: Sitemap für Webanwendungen (Tools)''']]<br />
<br />
''Achim Hoffmann, SecureNet GmbH''<br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 15:35-16:10 <br />
| colspan="2" style="background: rgb(255, 223, 128) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | <br />
[[#Projektierung der Sicherheitsprüfung von Webanwendungenen| '''Projektierung der Sicherheitsprüfung von Webanwendungenen''']]<br />
<br />
''Tobias Glemser, Tele-Consulting GmbH'' <br />
<br />
|-<br />
| style="background: rgb(123, 138, 189) none repeat scroll 0% 0%; width: 10%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | 16:10-16:25 <br />
| align="left" colspan="2" style="background: rgb(242, 242, 242) none repeat scroll 0% 0%; width: 80%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous;" | '''Schlusswort'''<br />
|-<br />
| align="center" style="background: rgb(64, 88, 160) none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: rgb(64, 88, 160);" colspan="3" | OWASP Germany<br />
|}<br />
<div style="text-align: center;">''<br>''</div> <br />
<br><br />
<br />
== Die Vorträge im Einzelnen ==<br />
<br />
=== Vorstellung des Open Web Application Security Project (OWASP) ===<br />
<br />
:Vortragsabstract folgt in Kürze <br />
<br />
:''Über Boris Hemkemeier''<br />
<br />
:Dr. Boris Hemkemeier ist Board Member des OWASP German Chapters. Er arbeitet als Principal Security Consultant bei der [http://www.commerzbank.de Commerzbank AG].<br />
<br />
=== OWASP Education Project ===<br />
:Die OWASP ist eine schier unerschöpfliche Quelle an Informationen zu fast allem, was die Sicherheit von Softwareanwendungen betrifft. Die Anzahl Projekte zu Tools und Dokumentationen wächst und wächst. Wo finde ich was zu welchem Thema? Was muss man und was sollte man wissen?<br />
<br />
:''Über Martin Knobloch''<br />
<br />
:Martin Knobloch ist Security Consultant bei Sogeti Nederland B.V., wo er die Arbeitsgruppe zur Anwendungssicherheit PaSS gegründet hat und leitet. Daneben ist Martin Mitglied des Niederländischen Chapter Board und trägt an meheren OWASP Projekten bei. Es ist Project Lead des OWASP Boot Camp, OWASP CTF, OWASP Speaker Project (Speaker Bureau) und OWASP Education Projekt. Martin ist aktives Mitglied des OWASP Global Education Committee.<br />
<br />
=== Praktische Erfahrung mit dem Secure Software Lifecycle ===<br />
:Fast 80% aller bekannten Sicherheitslücken haben ihren Ursprung in Anwendungen oder Infrastruktur-Komponenten wie zum Beispiel Web-Server und Application Server. Dies gilt für alle Arten von Software, egal ob selbstentwickelt, extern entwickelt, oder out-of-the-box-Standard-Software. Bekannte einzelne Maßnahmen wie Penetrationstests, Audits, Code-Reviews, usw. können helfen, aber sie müssen als Teile des "Secure Software Lifecycle" integriert werden, um am wirksamsten sein. <br />
<br />
:In dieser Präsentation erfahren Sie mehr über die effektivste Strategie für die Schaffung eines funktionierenden „Secure Software Lifecycle“. Die Beispiele sind aus der Praxis der Umsetzung des „Secure Software Lifecycle“ bei großen deutschen Unternehmen in den letzten Jahren. Sie werden sehen, wie man Kosten und Nutzen abschätzen kann und werden verstehen, wie die komplexen Puzzleteile zusammenpassen. Auf der Grundlage von konkreten Beispielen, erhalten Sie ein "Big Picture" der Sicherung der Software vor, während und nach der Entwicklung. <br />
<br />
:''Über Dr. Bruce Sams''<br />
<br />
:Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel.<br />
<br />
=== Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen ===<br />
<br />
:Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers (WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die Entwicklung. <br />
<br />
: In diesem Vortrag stelle ich vor, wie man sichere Web-Anwendungen mit BSP entwickelt. Ich zeige weiterhin, wie Entwickler gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting, SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man die Schwachstellen im Laufe eines Code Audits entdecken kann.<br />
<br />
:''Über Sebastian Schinzel''<br />
<br />
:Sebastian Schinzel ist seit mehr als sechs Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsanwendungen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsanwendungen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. Er ist Co-Autor des Buchs "Sichere ABAP-Programmierung" (SAP-Press 2009).<br />
<br />
=== Adaptive Sicherheit durch Anomalieerkennung ===<br />
<br />
:Weil die Funktionalität von Webapplikation stetig ausgebaut wird und zunehmend auch kritische Daten und Geschäftsprozesse damit gehandhabt werden, gehören Angriffe auf Webapplikationen zu den grössten aktuellen Sicherheitsproblemen. Zum Schutz vor solchen Bedrohungen kommen Web-Application-Firewalls (WAFs) zum Zuge. Aktuelle Komponenten setzen dabei auf ein Blacklist- oder Whitelist-Modell, welches mittels konfigurierbarer Regelsets durchgesetzt wird. Neuere Entwicklungen im Bereich von Whitelisting wie etwa URL- oder Form-Encryption figurieren auch unter dem Begriff “dynamisches Whitelisting”. Diesen Ansätzen sind diverse Grenzen gesetzt: Der Konfigurationsbedarf wird aufgrund der Komplexität heutiger Web-Anwendungen deutlich erhöht, Blacklist-Ansätze sind machtlos gegen “Zero-Day Exploits”, und sämtliche heutigen Ansätze greifen bei “Rich Internet Applications” (RIAs) und AJAX-Applikationen zu kurz. So auch dynamisches Whitelisting, welches mit JavaScript generierte URLs, Forms und Cookies nicht oder nur begrenzt handhaben kann.<br />
<br />
:Neue, innovative Techniken versprechen jedoch Abhilfe: So können mittels Anomalieerkennung Attacken auch ohne komplexe Konfiguration erkannt werden und mittels einer vertieften Analyse des Request- und Response-Bodys ist es möglich, RIAs zu schützen. Ein solcher Ansatz wird von AdNovum verfolgt und in dieser Session vorgestellt.<br />
<br />
:''Über Hartmut Keil''<br />
<br />
:Hartmut Keil ist diplomierter Physiker und Senior Software Engineer bei der AdNovum Informatik AG, einer Software-Engineering-Firma mit Sitz in Zürich. Sein Fokus liegt auf der Entwicklung von securityrelevanten Middlewarekomponenten wie Reverse-Proxies, Web-Application-Firewalls und Authentifizierungsservern.<br />
<br />
=== Design Bugs ===<br />
<br />
:oder wenn aus einem Marketing oder Usability Feature ein Sicherproblem entsteht...<br />
:In dem Vortrag werden "unpopuläre" Fehler besprochen, die während der Design Phase eines Entwicklungszykluses zu erkennen sind und entsprechend behandelt werden können. Diese Probleme werden durch veröffentlichte Vorfälle belegt und erörtert.<br />
<br />
:''Über Alexios Fakos''<br />
<br />
:Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum IT Sicherheitsdienstleister [http://www.nruns.com n.runs AG] gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung ([http://galileo.fh-friedberg.de/ MND]) an der [http://www.fh-giessen-friedberg.de/ Fachhochschule Giessen-Friedberg].<br />
<br />
=== JavaScript from Hell - advanced client side injection techniques of tomorrow ===<br />
<br />
:Der Talk befasst sich mit dem Thema JavaScript im Kontext von Angriffen gegen Web-Applikationen, Malware und Überwindung von Filtern. Neben einem Überblick über bekannte Verschleierungstechniken für JavaScript Payload dreht sich der Talk ebenso um Verfahren verschleierten Code in Klartext umzuwandeln. Final wird das Thema Malware von morgen angesprochen - Verschleierungtechniken die sich nicht mehr ohne weiteres umkehren lassen, sich selbst verändernder Code und spezielle Verfahren zur Umgehung von Filtern in WAFs und anderen Defensiv-Systemen.<br />
<br />
:''Über Mario Heiderich''<br />
:Mario Heiderich ist derzeit wohnhaft in Köln, arbeitet als Freelancer im Bereich Websecurity für diverse deutsche und internationale Firmen und hat große Freude an der Firebug Konsole.<br />
<br />
=== Pentestvorbereitung: Sitemap für Webanwendungen (Tools) ===<br />
<br />
:Um sich Klarheit über den Stand der Sicherheit einer Webanwendung zu verschaffen, ist ein -mehr oder weniger umfassender- Penetrationstest geeigent, manchmal sogar unumgänglich. Ein Penetrationstest kann wichtige Erkenntnisse über vohandene Schwachstellen liefern. Je nach Schutzbedarf der Anwendung und dem Risiko, das die Schwachstellen bieten, kann eine Kosten-Nutzen-Abwägung erfolgen, um die Schwachstellen ggf. zu beheben.<br />
:Bei der Projektierung eines Penetrationstests stellt sich für Auftraggeber und Pentester die Frage, "was" und "wieviel" denn zu testen ist. Bei umfangreichen Anwendungen ist es daher notwendig, ein Profil des Testgegenstandes zu erstellen. Daraus ergibt sich zum einen der Testumfang (Quantität) und zum anderen die eigentlichen Testpunkte (Qualität) - und damit insgesamt auch die Kosten.<br />
:In diesem Beitrag werden für die vermeintlich einfache Aufgabe: "Profil (Sitemap) erstellen" zum einen die Schwierigkeiten beschrieben, die damit verbunden sind, und zum anderen Tools, die dabei unterstützend eingesetzt werden können.<br />
<br />
:''Über Achim Hoffmann''<br />
:Achim Hoffmann ist Senior Consultant im Bereich Web Application Security bei der [http://www.securenet.de/ SecureNet GmbH] in München. Er ist Co-Autor des ''OWASP Best Practices: Web Application Firewalls'' und von ''Sicherheit von Webanwendungen, Maßnahmen und Best Practices'' des BSI.<br />
<br />
=== Projektierung der Sicherheitsprüfung von Webanwendungenen ===<br />
<br />
:Die Prüfung der Sicherheit von Webanwendungen wird mittlerweile von vielen Unternehmen als erforderlicher Schritt anerkannt. Insbesondere für die erstmalige Prüfung ist es für den Betreiber von Webanwendungen schwierig, ein entsprechendes Projekt aufzusetzen. Es gilt, zum einen den Projektfokus sauber zu definieren, um eine Vergleichbarkeit von Angeboten zu erzielen und zum anderen die Expertise der Dienstleister möglichst transparent bewerten zu können. <br />
<br />
:Ziel dieses nicht-technischen Whitepapers ist die Darstellung von transparenten Methoden, um die Projektierung einer solchen Prüfung zu ermöglichen und den geeigneten Dienstleister zu finden. Am Whitepaper beteiligt sind sowohl Endkunden, als auch mehrere Dienstleister, so dass ein generisches Dokument entwickelt werden konnte.<br />
<br />
:''Über Tobias Glemser''<br />
<br />
:Tobias Glemser beschäftigt sich seit dem Jahr 2000 mit der Planung und Durchführung von Penetrationstests auf Web-Anwendungen. Er ist leitender IT-Sicherheitsberater bei der [http://www.tele-consulting.com Tele-Consulting security networking training GmbH].<br />
<br />
==== Veranstaltungsort ====<br />
<br />
=== Konferenzort ===<br />
CCN Ost CongressCenter Nürnberg<br />
<br />
Messezentrum<br />
<br />
90471 Nürnberg<br />
<br />
[http://www.congressing.de www.congressing.de]<br />
<br />
=== Vorträge ===<br />
<br />
Ebene 3, '''Raum Shanghai''' <br />
<br />
Das Come Together in den Pausen und die Ausstellung finden in der Galerie vor dem Raum Shanghai und dem Foyer Shanghai/Seoul statt.<br />
<br />
=== Anreise ===<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/auto/ Anreise mit dem Auto]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/bahn/ Anreise mit der Bahn und dem Öffentlichen Nahverkehr]<br />
<br />
[http://www.congressing.de/de/ccn/anreise_aufenthalt/anreise/flugzeug/ Anreise mit dem Flugzeug]<br />
<br />
=== NürnbergMOBIL ===<br />
<br />
'''[http://www.nuernbergmobil.de NürnbergMOBIL]''' bietet Informationen zu sämtlichen Verkehrsverbindungen, dem Stadtgeschehen und rund um den Tourismus in Nürnberg<br />
<br />
==== Vorabendveranstaltung ====<br />
<br><br />
<br />
Zwischen 19:30 und 20:00 Uhr geht es am Vorabend, dem 12.10.09, los! Alle Teilnehmer sind zum Kennenlernen, Erfahrungsaustausch, Kontakteknüpfen in lockerer Atmosphäre eingeladen (Bitte auf dem Anmeldeformular entsprechend vermerken). Für das leibliche Wohl ist gesorgt.<br />
<br />
<br />
'''Restaurant Steichele'''<br />
<br />
Knorrstraße 2-8 <br />
<br />
90402 Nürnberg <br />
<br />
Telefon: +49 (0) 911 20 22 8-0 <br />
Telefax: +49 (0) 911 22 19 14 <br />
<br />
<br />
[http://www.steichele.de Link zum Restaurant]<br />
<br />
[http://www.steichele.de/dokumente/wegbeschreibung_STEICHELE.pdf Anreise zum Restauant (pdf)]<br />
<br />
<br />
==== Anmeldung und Preise ====<br />
<br />
<br><br />
=== Preise ===<br />
<br />
{| class="wikitable"<br />
|- valign="bottom"<br />
| width="112" height="13" style="background-color: rgb(153, 204, 255);" | „normaler“ Teilnehmer <br />
| width="60" align="right" | 200 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | OWASP-Mitglied <br />
| align="right" | 160 EUR<br />
|- valign="bottom"<br />
| height="13" style="background-color: rgb(153, 204, 255);" | Studenten <br />
| align="right" | 30 EUR<br />
|}<br />
<br />
Preise zzgl. MwSt. <br />
<br />
=== Anmeldung ===<br />
<br><br />
Bitte melden Sie sich über<span style="font-weight: bold;"> </span>[https://www.securenet.de/index.php?id=owasp2009_anmeldung '''dieses Formular'''] an. <br />
<br />
==== OWASP Messestand ====<br />
<br><br />
Auf dem OWASP-Stand der [http://www.it-sa.de/ it-sa] erhalten Sie Informationen zur OWASP und können sich fachlich austauschen.<br />
<br />
<br />
Sie finden uns am '''Stand 6-712''' ([http://www.it-sa.de/hallenplan-it-sa-2009/ Hallenplan])<br />
<br />
==== Infos für Sponsoren ====<br />
<br><br />
Es besteht die Möglichkeit zum Ausstellen und zum Logo-Sponsoring. [http://www.owasp.org/images/3/3d/OWASP_D_2009_SponsorenInfo_GHE_2009_08_19.pdf Infos für Sponsoren hier.]<br />
<br><br />
==== CfP (closed) ====<br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (German version) ==<br />
<br />
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete <br />
<br />
Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security: <br />
<br />
*Praxisrelevante technische Vorträge <br />
*Sichere Entwicklungsframeworks und Best Practices <br />
*Secure Development Lifecycle <br />
*Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber <br />
*Security Management von Anwendungen im Unternehmen <br />
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten <br />
*Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc. <br />
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc. <br />
*Anwendungssicherheit und Metriken<br />
<br />
Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss. <br />
<br />
Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können. <br />
<br />
<br> '''Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.''' <br />
<br />
<br> <br />
<br />
=== Termine: ===<br />
<br />
*'''Einreichungen bis 17.08.2009''' per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte. <br />
*Benachrichtigung der Vortragenden 31.08.2009. <br />
*Einreichung der Foliensätze (prefinal) 01.10.2009 <br />
*'''Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009'''<br />
<br />
<br> <br />
<br />
=== Weitere Informationen ===<br />
<br />
*Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/ <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Kontakt: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
<br> <br />
<br />
== OWASP AppSec Germany 2009 Call for Presentations (English version) ==<br />
<br />
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg. <br />
<br />
<br> <br />
<br />
=== Call for Presentations ===<br />
<br />
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision. <br />
<br />
<br> <br />
<br />
=== Topics of Interest ===<br />
<br />
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security): <br />
<br />
*Technical talks with particular relevancy to practice. <br />
*Secure development frameworks and best practices <br />
*Security awareness programs for developers, testers, architects and business people <br />
*Security management of web based applications <br />
*Security management in outsourcing and off-shoring projects and operations <br />
*Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc. <br />
*OWASP in your enterprise or university <br />
*Application security and metrics<br />
<br />
Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below). <br />
<br />
The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc). <br />
<br />
'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.''' <br />
<br />
<br> <br />
<br />
=== Dates ===<br />
<br />
*'''Submission deadline is the 17th August, 2009.''' Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab. <br />
*Acceptance notification until 31st August, 2009. <br />
*Submission deadline for presentation slides (prefinal) 1st October, 2009 <br />
*'''Conference 13th October 2009 (pre-opening event at 12th October, 2009)'''<br />
<br />
<br> <br />
<br />
=== Additional information: ===<br />
<br />
*Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference <br />
*Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de <br />
*OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement <br />
*About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany<br />
<br />
<br> <br />
<br />
=== Contact: ===<br />
<br />
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member) <br />
<br />
<headertabs /></div>Sebastian Schinzel