This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "German OWASP Day 2016"

From OWASP
Jump to: navigation, search
(Programm)
(Programm)
Line 143: Line 143:
 
|-
 
|-
 
|}
 
|}
 +
 +
== Talks und Abstracts ==
 +
 +
'''Sebastian Schinzel:''' '''DROWN (oder warum TLS-Konfiguration schwer ist)'''
 +
 +
''Abstract'': Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.
 +
 +
In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.
 +
 +
----
 +
 +
'''Daniel Kefer and René Reuter. Security Requirements im Software Development Lifecycle'''
 +
 +
''Abstract'': Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren.
 +
 +
Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures.
 +
 +
Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.
 +
 +
----
  
  

Revision as of 21:04, 23 October 2016




Logo German OWASP Day 2016

Die Registrierung ist eröffnet!

German OWASP Day 2016 / Deutscher OWASP-Tag 2016

Auch ​dieses ​Jahr ​richtet ​das ​German ​Chapter ​des ​Open ​Web ​Application ​Security ​Project ​(OWASP) ​wieder ​ihre ​nationale ​OWASP-Konferenz ​aus ​-- ​zum achten ​Mal. ​Der ​German ​OWASP ​Day ​ist ​die ​wichtigste, ​unabhängige ​und ​nicht-kommerzielle ​Konferenz ​in ​Deutschland ​zur ​Sicherheit ​von ​Anwendungen. ​Er ​findet ​am 29. November.2016 ​in ​Darmstadt ​statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar (www.weststadt.de) zum Networken und fachlichen Austausch eingeladen.

Die ​Konferenz ​richtet ​sich ​primär ​an ​ein ​deutschsprachiges ​Publikum; ​die ​Konferenzsprache ​ist ​Deutsch. ​Die ​Zielgruppe ​sind ​Entwickler, ​IT-Sicherheitsverantwortliche, ​DV-Leiter ​und ​die ​klassische ​“security ​crowd”. ​Der ​German ​OWASP ​Day ​2016 ​ist ​eine ​Security-Konferenz ​mit ​Fachvorträgen ​zu ​sicherer ​Entwicklung, ​Betrieb, ​Test ​und ​Management ​im ​Umfeld ​von ​webbasierten ​Anwendungen. ​Auch ​fachübergreifende, ​nicht-technische ​Themen ​sind ​willkommen. ​OWASP ​und ​OWASP-Konferenzen ​sind ​herstellerneutral ​und ​ohne ​Marketingvorträge.

Wir freuen uns, das wir in diesem Jahr mit CAST e.V. eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.

Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2016 (https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.

Call For Presentations

Der Call for Presentations ist geschlossen.


Unsere Sponsoren

Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.

Gold Standard
www.secuvera.de www.psi.de

Sponsoring

Ist natürlich auch dieses Jahr wieder herzlich willkommen.

Details für Sponsoren finden sich im → Sponsorsheet, . Ihr Ansprechpartner ist Tobias Glemser

Wann + Wo

Konferenzort

Vorabendveranstaltung

Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Weststadtbar www.weststadt.de ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...

Programm


Dienstag, 29. November 2015

08:15 - 08:55 Einlass
08:55 - 9:00 Begrüßung / Welcome
Ingo Hanke
09:00 - 9:15 OWASP 101
Martin Knobloch
09:15 - 10:00 Keynote: CarIT Security (genauer Titel t.b.a.)
Tobias Millauer (Daimler)
10:00 - 10:30 Java Deserialization Attacks: Angriff & Verteidigung
Christian Schneider
10:30 - 11:00 Kaffeepause / Coffee Break
11:00 - 11:30 Security Requirements im Software Development Lifecycle
Daniel Kefer and René Reuter
11:30 - 12:00 Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework
Thomas Patzke
12:00 - 12:30 Sicher in die Cloud mit Angular 2 und Spring Boot
Andreas Falk
12:30 - 13:30 Mittagspause / Lunch Break
13:30 - 14:00 T.B.A.
T.B.A.
14:00 - 14:30 NoSQL Injection revisited
Patrick Spiegel
14:30 - 15:15 Lighning Talks

T.B.A.

15:15 - 15:45 Pause / Coffee Break
15:45 - 16:15 CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy
Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies
16:15 - 16:45 Sicherheit agil Testen
Matthias Rohr
16:45 - 17:15 DROWN (oder warum TLS-Konfiguration schwer ist)
Sebastian Schinzel

Talks und Abstracts

Sebastian Schinzel: DROWN (oder warum TLS-Konfiguration schwer ist)

Abstract: Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.

In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.


Daniel Kefer and René Reuter. Security Requirements im Software Development Lifecycle

Abstract: Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren.

Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures.

Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.




Online-Registrierung / Eintrittspreise

!!! Die Registrierung ist eröffnet !!!

Da wir auch dieses Jahr eine beschränkte Teilnehmerzahl von 150 haben, ist es ratsam, sich umgehend anzumelden.

Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular unverbindlich mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.

  • Regulär: 219,00 €
  • OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € OWASP Member im German Chapter könnt ihr hier werden.
  • Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.

Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.



Organisation

Hash tag

#owasp_d2016

Social Media Response

Social Media Recap at Eventifier




<top> <Germany>