https://wiki.owasp.org/index.php?action=history&feed=atom&title=OWASP_ISRAEL_2009_03_HebrewOWASP ISRAEL 2009 03 Hebrew - Revision history2026-04-20T19:26:58ZRevision history for this page on the wikiMediaWiki 1.27.2https://wiki.owasp.org/index.php?title=OWASP_ISRAEL_2009_03_Hebrew&diff=146983&oldid=prevOshezaf: Created page with "<div dir="rtl" lang="he"> =OWASP Israel - פגישה באוניברסיטת תל-אביב 26/3/2009= מפגש OWASP Israel התקיים באוניברסיטת תל-אביב ב..."2013-03-07T20:04:53Z<p>Created page with "<div dir="rtl" lang="he"> =OWASP Israel - פגישה באוניברסיטת תל-אביב 26/3/2009= מפגש OWASP Israel התקיים באוניברסיטת תל-אביב ב..."</p>
<p><b>New page</b></p><div><div dir="rtl" lang="he"><br />
=OWASP Israel - פגישה באוניברסיטת תל-אביב 26/3/2009=<br />
מפגש OWASP Israel התקיים באוניברסיטת תל-אביב ביום ה' ה-26/3/2009 בין השעות 4 ל-7 בערב. המפגש נערך באולם 001 בבנין דן דוד. במפת האוניברסיטה חפשו את "כיתות דן דוד". את מפגש אירח [http://www.cs.tau.ac.il/cpiis/mission.html מכון צ'ק פוינט למחקר אבטחת מידע].<br />
<br />
בתוכנית:<br />
==אבטחת יישומי ווב סלולריים==<br />
'''מיקו סריו, מייסד OWASP פינלנד וארכיטקט אבטחה בחברה גדולה לציוד טלפוניה סלולרית'''<br />
כיום כשלמכשירים סלולריים יכולות ווב הולכות ומשתפרות, נושא אבטחת יישומי הווב הופך מרכזי גם במערכות אלו. ההרצאה תעסוק באיומי אבטחת יישומי ווב הרלוונטיים בשעת פיתוח יישומי ווב סלולריים.<br />
<br />
ההרצאה מתאפשרת באמצעות פרוייקט OWASP on the Move המיועד לסייע בהבאת הרצאות מעניינות למפגשי OWASP ברחבי העולם.<br />
<br />
([http://www.owasp.org/images/4/41/OWASP_Israel_-_March_2009_-_Mikko_Saario_-_Web_Application_Security_in_the_Mobile_World.pdf הורד את המצגת])<br />
<br />
==ניהול מפתחות הצפנה בהתאם לתקן PCI DSS ==<br />
'''ירון חקון, [http://www.2bsecure.co.il/ 2Bsecure ]'''<br />
<br />
יותר ויותר ארגונים צריכים לעמוד בתקן אבטחת המידע PCI DSS של חברות האשראי המיועד להגנה על נתוני כרטיסי האשראי. אחת הדרישות המורכבות יותר אותה מתקשים ארגונים לקיים היא הדרישה בסעיף 3 של התקן להצפנת נתוני כרטיסי אשראי ובפרט ניהול מפתחות ההצפנה.<br />
<br />
ירון יציג פתרון שאפיין עבור חברה בתחום הסליקה הבין בנקאית של ניהול מפתחות העונה על דרישות תקן PCI DSS באמצעות טכנולוגית dot Net. ירון גם ישווה את הפתרון ליישום ניהול המפתחות הישן של הארגון.<br />
<br />
ירון הוא יועץ אבטחת יישומים ומרכז תחום [http://www.xiom.com/waf WAF ] בחברת [http://www.2bsecure.co.il/ 2Bsecure ].ירון גם מרכז את [http://www.applicationsecurity.co.ilקבוצת משתמשים בנושא אבטחת dot Net במיקרוסופט] . בשנים האחרונות יישם ירון מספר פרוייקטים בנושאי תקינה בכלל ותקן PCI DSS בפרט.<br />
<br />
([http://www.owasp.org/images/7/7e/OWASP_Israel_-_March_2009_-_Yaron_Hakon_-_PCI_key_managment.pdf הורד את המצגת])<br />
<br />
==זיהוי התקפות Remote File Inclusion==<br />
אור כץ, חברת [http://www.breach.com Breach Security]<br />
<br />
התקפות Remote File Inclusion או RFI בקיצור הן מן ההתקפות הנפוצות ביותר על שרתי ווב, ואולם זיהויים באמצעות מערכות אבטחה כדוגמת IDS או WAF אינו פשוט. הסיבה היא שהמאפיין המרכזי שלהן, URL בשדה קלט, תקני ביישומים רבים.<br />
<br />
אור יציג מחקר שביצע על זיהוי התקפות RFI תוך התמקדות בשילוב של[http://www.xiom.com/waf-positive-model אבטחה חיובית (Positive Security)] [http://www.xiom.com/waf-negative-model ואבטחה שלילית (Negative Security)] לזיהוי ההתקפות תוך מזעור התראות השווא (False Positives).<br />
<br />
אור הוא ראש צוות מחקר אבטחת מידע בחברת Breach Security.<br />
(הורד את [http://www.owasp.org/images/6/67/OWASP_Israel_-_March_2009_-_Or_Katz_-_RFI_detection.pdf המצגת] | [http://www.breach.com/resources/whitepapers/downloads/WP_Detecting_Remote_File.pdf מאמר])<br />
<br />
== WAFEC 2.0 - האם WAFs מספקים את הסחורה?==<br />
עפר שיזף, חברת [http://www.xiom.com/about/xiom Xiom] <br />
<br />
WAFEC הוא המדריך הטוב ביותר המגדיר מה הוא פיירוול אפליקטיבי - WAF - וכיצד לבחור אותו. אבל WAFEC בן 3 וכבר כשנולד היו לו בעיות רבות. המרכזית שבהן היא ש-WAFEC אינו מגדיר את תשומות אבטחת המידע של ה-WAF, כלומר ממה עליו להגן, וממילא גם אינו עונה על השאלה האם ה-WAF עומד במשימה.<br />
<br />
חברת Xiom המתמחה במחקר אובייקטיבי בתחום WAF קיבלה את ריכוז הגרסה החדשה של פרוייקט WAFEC עבור ה-Web Application Security Consortium. בהרצאה יציג עפר את החידושים המתוכננים בגרסה החדשה וידון בשאלה מה צריכים להיות הקריטריונים לבחינת רמת האבטחה שמספק WAF.<br />
<br />
עפר הוא המייסד של חברת [http://www.xiom.com/about/xiom Xiom ] , מומחה אבטחת יישומים בעל שם עולמי ועומד בראש OWASP ישראל.<br />
<br />
(הורד את [http://www.owasp.org/images/6/63/OWASP_Israel_-_March_2009_-_Ofer_Shezaf_-_Why_WAFs_fail.pdf המצגת] )<br />
<dir></div>Oshezaf