This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "Poland"
(updated chapter leader) |
|||
(304 intermediate revisions by 14 users not shown) | |||
Line 1: | Line 1: | ||
− | + | {| | |
− | + | |- | |
+ | ! width="700" align="center" | <br> | ||
+ | ! width="500" align="center" | <br> | ||
+ | |- | ||
+ | | align="center" | [[Image:OWASP_Poland_logo.png]] | ||
+ | | align="center" | | ||
− | To join the | + | |} |
+ | |||
+ | =Info= | ||
+ | ==Who are we== | ||
+ | The original Polish Chapter was founded in June 2007 by Andrzej Targosz and Robert Pajak. The chapter leader is [mailto:[email protected] Daniel Krasnokucki]. Acting Chapter Board members are: [mailto:[email protected] Michal Kurek], [mailto:[email protected] Wojciech Dworakowski], [mailto:[email protected] Alexander Antukh], [mailto:[email protected] Michał Olczak], [mailto:[email protected] Łukasz Gołygowski]. | ||
+ | |||
+ | {{#widget:PayPal Donation | ||
+ | |target=_blank | ||
+ | |currency=USD | ||
+ | |budget=Poland | ||
+ | }} | ||
+ | |||
+ | ==Current events== | ||
+ | |||
+ | === [http://owaspday.pl/ OWASP Poland Day] - Oct 16 2019 === | ||
+ | '''Most accurate list of our events can be found at''' [http://www.meetup.com/owasp-poland/ '''Meetup''']. | ||
+ | |||
+ | ==Call for Papers== | ||
+ | |||
+ | If you '''wish to present your topic''' at OWASP, here is our Call for Papers [https://goo.gl/forms/BHdTGELgTxvkAQEt2 form]. | ||
+ | |||
+ | ==Chapter Supporters== | ||
+ | OWASP Poland thanks its Chapter Supporters: | ||
+ | |||
+ | [[File:Softserve logo.jpg|frameless|150x150px]] - Platinum Chapter Supporter | ||
+ | |||
+ | [[File:EY logo 150x150.png|frameless]]- Platinum Chapter Supporter | ||
+ | |||
+ | <br>[[File:Radware logo.png|frameless|200x200px]]- Platinum Chapter Supporter | ||
+ | |||
+ | [[File:Checkmarx logo OWASP.png|frameless|200x200px]]- Platinum Chapter Supporter | ||
+ | |||
+ | <br> | ||
+ | <!-- [[Image:CiscoATA_logo.png | link=https://www.cisco.com/c/pl_pl/index.html]] - Gold Chapter Supporter<br> --> | ||
+ | [[Image:Securing_logo_cmyk_150.png | link=http://www.securing.pl]] - Gold Chapter Supporter<br> | ||
+ | [[Image:KPMG_logo.png | link=https://home.kpmg.com/pl/pl/home.html]] - Silver Chapter Supporter<br> | ||
+ | [[Image:Bluesec.png | link=https://www.bluesec.pl/l]] - Silver Chapter Supporter<br> | ||
+ | <!-- [[Image:allegro-group.jpg | link=http://allegro.pl/country_pages/1/0/marketing/about.php]] - Gold Chapter Supporter.<br> --> | ||
+ | <!-- [[Image:LP_logo.jpg | link=http://linuxpolska.pl]] - Silver Chapter Supporter,<br> --> | ||
+ | <!-- [[Image:Bluesec.png | link=https://www.bluesec.pl/l]] - Silver Chapter Supporter,<br> --> | ||
+ | |||
+ | |||
+ | If your company wishes to support our chapter, please contact [mailto:[email protected] Alexander Antukh] or [mailto:[email protected] Wojciech Dworakowski] (terms and conditions: https://www.owasp.org/index.php/Membership).<br> | ||
+ | |||
+ | =Partner events= | ||
+ | |||
+ | ==Advanced Threat Summit 2018== | ||
+ | Zapraszamy do udziału w 5 edycji Advanced Threat Summit, jednej z najważniejszych konferencji cybersecurity w Polsce. Konferencja odbędzie się 13-14 listopada, w Warszawie. Program AT Summit 2018 koncentruje się na tematyce wpływu automatyzacji i sztucznej inteligencji na branżę cyberbezpieczeństwa, dbałości o bezpieczeństwo w całym procesie tworzenia systemów IT oraz cybercrime. Wśród prelegentów znakomici eksperci z polski i zagranicy! | ||
+ | Więcej informacji: https://atsummit.pl/ | ||
+ | Członkowie i sympatycy OWASP otrzymają 10% rabat! Przy zgłoszeniu prosimy o wpisanie kodu promocyjnego „OWASP”. | ||
+ | |||
+ | Podczas pierwszego dnia konferencji odbędzie się otwarte spotkanie OWASP. Więcej informacji: https://www.meetup.com/owasp-poland/events/255963198/ | ||
+ | |||
+ | ==SEMAFOR 2018== | ||
+ | Jak co roku OWASP Poland jest partnerem konferencji Securiy Management Audit Forum - w skrócie SEMAFOR, | ||
+ | Konferencja odbędzie się 15-16 marca na Stadionie Narodowym w Warszawie. | ||
+ | W agendzie konferencji znalazło się wiele tematów dotyczących bezpieczeństwa aplikacji. Więcej informacji na stronie: https://www.computerworld.pl/konferencja/semafor | ||
+ | |||
+ | Dla członków i sympatyków OWASP organizatorzy zaproponowali 10% zniżki. Przy rejestracji należy podać kod "OWASP" | ||
+ | |||
+ | ==III KONFERENCJA ADVANCED THREAT SUMMIT 2016 == | ||
+ | Miło nam poinformować, że STOWARZYSZENIE OWASP objęło swoim patronatem kolejną konferencję organizowaną przez ISSA Polska oraz Evention, dotyczącą cyberzagrożeń i bezpieczeństwa IT we współczesnym świecie. | ||
+ | |||
+ | AT Summit 2016 to wyjątkowa okazja na zdobycie cennej wiedzy na temat największych zagrożeń w świecie cybersecurity. Uczestnictwo w konferencji pozwoli Państwu na nawiązanie relacji, ciekawe rozmowy i wymianę doświadczeń w gronie profesjonalistów cyberbezpieczeństwa z dużych organizacji. | ||
+ | |||
+ | Jak co roku, program ATS skoncentrowany jest na obszarach Państwa zdaniem najważniejszych na dany rok – dlatego też III edycja Advanced Threat Summit poświęcona będzie kwestii bezpieczeństwa proaktywnego, użytkownika w centrum uwagi i minimalizowaniu ryzyka. | ||
+ | |||
+ | Więcej: http://www.atsummit.pl | ||
+ | |||
+ | ==PolCAAT 2016== | ||
+ | |||
+ | 22 listopada Instytut Audytorów Wewnętrznych IIA Polska organizuje w Warszawie konferencję PolCAAT 2016. OWASP Poland jest partnerem tej konferencji. | ||
+ | |||
+ | W programie wiele tematów istotnych dla audytorów wewnętrznych. M.in.: | ||
+ | - nowe dyrektywy GDPR, NIST, eIDAS, | ||
+ | - wykorzystanie OWASP ASVS w audycie wewnętrznym, | ||
+ | - zarządzanie bezpieczeństwem dostawców | ||
+ | |||
+ | Szczegóły i rejestracja na stronie IIA: | ||
+ | https://www.iia.org.pl/kalendarium/konferencje/xii-konferencja-polcaat2016 | ||
+ | |||
+ | |||
+ | =Find us= | ||
+ | |||
+ | OWASP Poland on social networks: | ||
+ | |||
+ | * [http://www.meetup.com/owasp-poland/ Meetup] as primary schedule tool | ||
+ | * [http://www.slideshare.net/OWASP_Poland Slideshare] | ||
+ | * [https://twitter.com/owasppoland Twitter] | ||
+ | * [https://www.facebook.com/pages/OWASP-Poland-Local-Chapter/180398958660633 Facebook] | ||
+ | * [https://www.linkedin.com/groups/OWASP-Poland-8179731 Linkedin] | ||
+ | * [https://plus.google.com/113312187164653734511/posts Google+] (oraz [https://www.google.com/calendar/embed?src=nl0qd7s4dhnt3f4hdb8p5t3rsk%40group.calendar.google.com&ctz=Europe/Warsaw Google Calendar]) | ||
+ | * [https://www.youtube.com/channel/UCIX0PGPamwsYSWxTB9luBvg YouTube channel] | ||
+ | * [http://www.eventbrite.com/org/1804236865?s=8372433 EventBrite] | ||
+ | |||
+ | =Archive= | ||
+ | |||
+ | ==Previous board members== | ||
+ | If you have any questions about previous activities, do not hesitate to contact previous Chapter Leaders:<br> | ||
+ | (2011-2017) [mailto:[email protected] Wojciech Dworakowski]<br> | ||
+ | (2009-2011) [mailto:[email protected] Przemyslaw Skowron]<br> | ||
+ | (2007-2009) [mailto:[email protected] Andrzej Targosz]<br> | ||
+ | <br> | ||
+ | Previous Chapter Board members:<br> | ||
+ | [mailto:[email protected] Marek Zmyslowski]<br> | ||
+ | [https://plus.google.com/+PawełKrawczyk/ Paweł Krawczyk]<br> | ||
+ | |||
+ | ==2016== | ||
+ | |||
+ | ==Security PWNing 2016== | ||
+ | |||
+ | Zapraszamy serdecznie na konferencję Security PWNing 7-8 listopada w | ||
+ | Warszawie. | ||
+ | Security PWNing to nowa konferencja organizowana przez Instytut PWN i | ||
+ | Gynvaela Coldwinda, a więc możemy spodziewać się wysokiego poziomu i | ||
+ | technicznych prezentacji dotyczących aspektów bezpieczeństwa oprogramowania, | ||
+ | Nasz chapter OWASP jest partnerem konferencji i dla członków i sympatyków | ||
+ | OWASP przewidziana jest 15% zniżka. Szczegóły w komunikacje organizatora | ||
+ | poniżej. | ||
+ | |||
+ | PS. Przy okazji przypominamy o możliwości wspierania działalności OWASP | ||
+ | przez opłacenie dobrowolnej składki członkowskiej: | ||
+ | https://www.owasp.org/index.php/Membership | ||
+ | |||
+ | '''SECURITY PWNing – bezpieczeństwo środowiska informatycznego!''' | ||
+ | |||
+ | We współczesnym świecie zmiany następują w błyskawicznym tempie. Dotyczy to | ||
+ | także środowiska informatycznego, gdzie atakujący stale doskonalą swoje | ||
+ | techniki, a i obrońcy nie próżnują. Powstają coraz nowsze metody ominięcia | ||
+ | barier programowych służących zapewnieniu bezpieczeństwa, a równocześnie | ||
+ | ewoluują rozwiązania wykorzystywane w systemach, zapewniających | ||
+ | bezpieczeństwo IT. | ||
+ | |||
+ | W imieniu '''Gynvaela Coldwinda''', Przewodniczącego Rady Programowej, | ||
+ | zapraszamy do udziału w Security PWNing Conference. Uczestnicząc w | ||
+ | konferencji poznasz bieżące zagrożenia związane z bezpieczeństwem IT oraz | ||
+ | najnowsze metody ochrony zasobów firmowych. Dowiesz się m. in. jakie | ||
+ | aktualne zagrożenia niesie za sobą podłączenie różnego typu urządzeń do | ||
+ | komputera i jak można im przeciwdziałać. Najlepsi eksperci zaprezentują | ||
+ | sposoby na poprawienie bezpieczeństwo systemów operacyjnych i aplikacji. | ||
+ | Nie zabraknie również nowości związanych z technicznym bezpieczeństwem IT i | ||
+ | przeprowadzaniem testów bezpieczeństwa. | ||
+ | |||
+ | W programie m. in.: | ||
+ | * Documented to Fail | ||
+ | * Graficzny format Windows Metafile: analiza wektorów ataku i najnowszych podatności | ||
+ | * Realne ataki, realne straty - 2016 w Polsce i na świecie | ||
+ | * Stan bezpieczeństwa aplikacji mobilnych polskich banków | ||
+ | * Śledzenie ścieżki wykonania procesu: dla security researchera i programisty | ||
+ | |||
+ | Wśród prelegentów m. in.: | ||
+ | |||
+ | GYNVAEL COLDWIND, MARIUSZ BURDACH, ANNA CHAŁUPSKA, JAMES FORSHAW, ADAM | ||
+ | HAERTLE, MATEUSZ JURCZYK, PIOTR KONIECZNY, KRZYSZTOF KOTOWICZ, BORYS ŁĄCKI, | ||
+ | MAREK MARCZYKOWSKI-GÓRECKI, MICHAŁ SAJDAK, REENZ0H, TOMASZ ZIELIŃSKI | ||
+ | |||
+ | Więcej informacji na stronie [https://www.instytutpwn.pl/konferencja/pwning2016/?utm_source=OWASP&&utm_medium=web&&utm_campaign=1B27_1016_web_201610 Instytutu PWN] | ||
+ | |||
+ | Chcesz wiedzieć wszystko o bezpieczeństwie IT? Zarejestruj się na Security PWNing Conference już dziś! Specjalna zniżka dla członków i sympatyków OWASP: | ||
+ | |||
+ | Aby skorzystać z '''15%''' rabatu proszę wpisać podczas rejestracji kod promocyjny: '''OWASP''' | ||
+ | |||
+ | Zgłoszenia na [https://www.instytutpwn.pl/konferencja/pwning2016/?utm_source=OWASP&&utm_medium=web&&utm_campaign=1B27_1016_web_201610 stronie] | ||
+ | |||
+ | |||
+ | ==Secrets of Google VRP, Kraków, 7.04.2016== | ||
+ | |||
+ | '''Registation:''' http://www.meetup.com/owasp-poland/events/229956709/ | ||
+ | |||
+ | '''Place:''' METAFORMA Cafe, Powiśle 11, Kraków | ||
+ | |||
+ | '''Start:''' 18:00 | ||
+ | |||
+ | We have seized the opportunity that our colleague - '''Krzysztof Kotowicz from Google Security Team''' is in a town for few days and we are organizing meeting with him. The topic of this meeting is Google Vulnerability Reward Program. Tons of practical info for bug bounters, for companies who want to organize similar programs, but also for general app-sec enthusiasts who will learn how to evaluate importance of the bug. | ||
+ | |||
+ | '''Secrets of Google VRP. The bug hunter's guide to sending great bugs - Krzysztof Kotowicz, Google Security Team''' | ||
+ | |||
+ | Did you ever want to know how a CSRF may be more dangerous than a stack buffer overflow? Are you curious what makes a bug critical? Have you ever wondered why Google Security Bot doesn't pay for open redirects, and not every XSS is the same? During this workshop, you'll get to know the answer to those questions - and all other secrets of the Google VRP too. You'll see how Google Security Team evaluates the incoming vulnerability reports, what do we focus on, and how to make our day by sending us a great bug. Several examples of vulnerabilities sent to our VRP will be presented - both successful submissions and rejected ones. We'll talk extensively about the differences between those to help you find and report the bugs worth your time. We'll discuss various OWASP Top 10 vulnerability types and how do they relate to Google VRP rules. Come to the workshop, talk to us and learn how to become one of the top bughunters!" | ||
+ | |||
+ | ==4Developers== | ||
+ | |||
+ | Pomogliśmy przygotować ścieżkę AppSec na konferencji [http://2016.4developers.org.pl/pl/tracks/app-security/ 4Developers], zniżka 20% na kod owasp ! | ||
+ | |||
+ | ==KrakWhiteHat & OWASP meeting 29.02.2016 (Kraków) == | ||
+ | |||
+ | Wspólnie z KrakWhiteHat zapraszamy na kolejne spotkanie OWASP. Będzie ono poświęcone głównie bezpieczeństwu aplikacji webowych. | ||
+ | |||
+ | Zachęcamy do zadawania pytań naszym prelegentom i udziału w dyskusji. Firma Helion ufundowała książki z zakresu bezpieczeństwa IT, które nasi prelegenci rozdadzą aktywnym uczestnikom spotkania. Meetup będzie okazją do nawiązania ciekawych znajomości i odnowienia starych, prowadzenia inspirujących dyskusji oraz wysłuchania wartościowych prelekcji merytorycznych. | ||
+ | |||
+ | Miejsce: | ||
+ | Barka Alrina, ul.Podgórska 16, start 18:00 | ||
+ | |||
+ | Agenda: | ||
+ | |||
+ | 18:00 - 18:15 - Powitanie | ||
+ | |||
+ | 18:15 - 19:00 - '''Adam Nowak, Doświadczony Konsultant, EY - "Bezpieczeństwo HTTPS" ''' | ||
+ | |||
+ | Protokół HTTPS podlega nieustannym zmianom, zarówno w warstwie SSL/TLS jak i HTTP. Co kilka miesięcy słyszymy o nowych podatnościach i atakach, które wymagają aktywnych działań po stronie twórców przeglądarek, administratorów systemów oraz deweloperów. Nie jest to łatwe zadanie. Na które elementy implementacji i konfiguracji HTTPS należy zwrócić uwagę, by czuć się bezpiecznym? | ||
+ | |||
+ | W trakcie prezentacji opisane zostaną zagrożenia oraz podatności wynikające z nieprawidłowej implementacji i konfiguracji protokołu HTTPS. Przedstawione zostaną najlepsze praktyki oraz nowe trendy mające na celu zapewnienie należytego poziomu bezpieczeństwa komunikacji HTTPS. | ||
+ | |||
+ | 19:00 - 19:15 - networking | ||
+ | |||
+ | 19:15 - 21:00 - '''Jakub "unknow" Mrugalski - "Jak kraść pieniądze w sieci? - przegląd technik używanych przez cyberprzestępców. "''' | ||
+ | |||
+ | Unknow z UW-Team.org zaprezentuje najpopularniejsze metody na niekoniecznie legalne generowanie zysków w sieci. Każdy przykład omówiony zostanie zarówno z punktu widzenia developera jak i osoby atakującej. | ||
+ | |||
+ | O naszych prelegentach: | ||
+ | |||
+ | '''Adam Nowak''' jest doświadczonym konsultantem w zespole Advanced Security Center w firmie EY. Posiada kilkuletnie doświadczenie zawodowe w obszarze bezpieczeństwa środowisk informatycznych oraz testów penetracyjnych. Odpowiedzialny jest głównie za rozwój oraz realizację usług związanych z bezpieczeństwem aplikacji webowych. | ||
+ | |||
+ | '''Jakub 'unknow' Mrugalski''' - człowiek żyjący i nauczający w Internecie. Publikuje filmy i artykuły z tematyki programowania, Linuksa i bezpieczeństwa webowego, a ostatnio udziela nawet porad jak żyć. Aktywnie działa w social mediach. Nie ma na swoim koncie certyfikatów którymi mógłby się pochwalić, ale gdy trafi się okazja, kupi sobie jakiś aby atrakcyjniej wyglądać na liście prelegentów. Zawodowo związał się z firmą, dzięki której działa 30% Internetu na świecie i dba tam, aby pomimo zatrudnienia go, sieć ta działała nadal. | ||
+ | |||
+ | Rejestracja: | ||
+ | http://www.meetup.com/owasp-poland/events/228956701/ | ||
+ | |||
+ | ==SEMAFOR 2016== | ||
+ | |||
+ | OWASP Poland Chapter jest partnerem konferencji SEMAFOR - Forum Bezpieczeństwa i Audytu IT organizowanej przez zaprzyjaźnione organizacje ISSA Polska i ISACA Warsaw Chapter oraz Computerworld. | ||
+ | Po podaniu kodu promocyjnego "OWASP" przy rejestracji, można uzyskać 10% rabatu od standardowych cen. | ||
+ | |||
+ | Do wygłoszenia keynote zaprosiliśmy Barta de Win - lidera projektu OWASP OpenSAMM (Security Assurance Maturity Model). Będzie mówił o bezpieczeństwie w całym procesie wytwarzania oprogramowania (SDLC) i o tym jak darmowe narzędzia i standardy OWASP mogą w tym pomóć. | ||
+ | |||
+ | Konferencja odbędzie się 17-18 marca 2016 w Warszawie. | ||
+ | |||
+ | Strona konferencji: | ||
+ | http://www.computerworld.pl/konferencja/semafor2016 | ||
+ | |||
+ | Rejestracja: | ||
+ | http://www.computerworld.pl/konferencja/semafor2016/zgloszenie | ||
+ | |||
+ | Poniżej podstawowe informacje od organizatorów - dokładniejsze, w tym program, na stronie konferencji: | ||
+ | |||
+ | Już po raz dziewiąty stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum Bezpieczeństwa i Audytu IT, która odbędzie się w Warszawie w dniach 17-18 marca 2016. Konferencja SEMAFOR jest jednym z najważniejszych wydarzeń związanym ze światem bezpieczeństwa informacji i audytu IT w Polsce – w 2015 r. gościliśmy ponad 350 uczestników, 18 wystawców i 22 partnerów konferencji. W czasie konferencji mieliśmy 35 prelekcji i 17 stolików tematycznych. SEMAFOR to świetna okazja do zapoznania się z bieżącymi zagrożeniami związanymi z bezpieczeństwem IT, zdobycia nowych umiejętności i doświadczenia oraz nawiązania i podtrzymania relacji w środowisku bezpieczeństwa i audytu IT. | ||
+ | |||
+ | Konferencja będzie odbywać się z uwzględnieniem 3 ścieżek tematycznych: | ||
+ | |||
+ | * Audyt IT | ||
+ | |||
+ | * Zarządzanie bezpieczeństwem informacji | ||
+ | |||
+ | * Techniczne aspekty bezpieczeństwa informacji | ||
+ | |||
+ | ==OWASP Krakow Event (OWASP EEE) 6.10.2015== | ||
+ | |||
+ | [https://www.youtube.com/watch?v=nb_pTyX2eAo Video recording] | ||
+ | |||
+ | ==2015== | ||
+ | |||
+ | ==OWASP Kraków 3.12.2015 == | ||
+ | |||
+ | On 3rd December at 5 30 p.m. we meet in hub:raum (Przemysłowa 12 street, entrance A, 4th floor) in Kraków. | ||
+ | |||
+ | '''Agenda:''' | ||
+ | |||
+ | * '''CTF & Wargaming as a different hands-on approach to ICT Security Training, Marius Corîci (CTF365)''' | ||
+ | |||
+ | With so many enterprises being breached by hackers lately and the explosion of IoT (Internet of Things), it’s clear that SMEs, Corporations and Government Agencies need to find more effective information security training solutions for their employees. With the help of specially designed security testing and training labs, this is something that can be easily achieved. | ||
+ | |||
+ | New concepts based on gamification and inspired by the Internet, guided by capture the flag (CTF) competitions, and specially crafted for the ITC industry should be the new approach. Robust Security Training Platforms where users and teams can train and improve their offensive or defensive security skills and flexible enough to be used as add-on layer or standalone solution to improve your organization’s core security training capabilities. | ||
+ | |||
+ | * '''Biometrics and mobile/web apps, Bartosz Pawłowicz (VoicePIN) ''' | ||
+ | |||
+ | There's no denying that the use of biometric technology in mobile devices is a very hot topic. Following this path, Bartosz Pawłowicz will talk about different kinds of biometrics in mobile - these widely known and the most recent. What pros and cons each of them has? What awaits us in the future with the development of biometrics? | ||
+ | |||
+ | You will also learn about the indicators of efficacy and safety offered by biometric solutions - how to understand them? How they are often manipulated or far-fetched by the producers? What really matters and what is a marketing ploy? In addition, Bartosz will discuss the impact of the test base on the results and the differences between tests and reality. | ||
+ | |||
+ | '''Registration''': | ||
+ | http://www.meetup.com/owasp-poland/events/226905018/ | ||
+ | |||
+ | ==OWASP Warszawa 13.10.2015== | ||
+ | |||
+ | Spotkanie OWASP w Warszawie będzie dedykowane problematyce bezpieczeństwa systemów wbudowanych i Internetowi rzeczy (IoT). | ||
+ | Data i miejsce spotkania: '''13 października 2015, 18:00-20:00''' | ||
+ | |||
+ | EY | ||
+ | Rondo ONZ 1, Warszawa | ||
+ | Sala: 14-40 (piętro 14) | ||
+ | |||
+ | Uczestnictwo w spotkaniu jest bezpłatne. Prośba o rejestrację na stronie EventBrite, z uwagi na ograniczoną liczbę miejsc: | ||
+ | |||
+ | http://www.eventbrite.com/e/owasp-poland-warszawa-13-pazdziernika-2015-registration-18791952235 | ||
+ | |||
+ | '''Agenda:''' | ||
+ | |||
+ | 18:00 - 18:15 - '''Meeting opening, OWASP news''' | ||
+ | |||
+ | 18:15 - 19:00 - '''Secure IoT - Myth or the necessity''' - Marcin Strzałek, Consultant, EY | ||
+ | |||
+ | Internet of Things is not only a catchy slogan, but a real trend of connecting to public networks multiple Things like fridges, bulbs, home cameras, baby monitors, lockers and even sniper rifles. All of these devices have one common feature – lack of consistent security measures, that allows attackers to disclose or tamper sensitive private data. During presentation we will describe most interesting security vulnerabilities identified in different Things, typical issues and same simple solutions as well as challenges and differences in IoT security comparing with standard web / mobile security. | ||
+ | |||
+ | Marcin is a Consultant within EY’s IT Risk and Assurance division specializing in information technology systems security audits, especially in the field of mobile application penetration testing, reverse engineering malware and source code review. He graduated from Warsaw University of Technology in Warsaw and obtained Bachelor of Science Degree in Computer Science. Currently he holds following certificates: GIAC Reverse Engineering Malware (GREM), Certified Information Systems Auditor (CISA), ISTQB Certified Tester Foundation Level. | ||
+ | |||
+ | 19:00 - 19:45 - '''Towards the WWW of Things? Give me a ReST! Securing Communications Protocols in the IoT''' - David Fuhr, NTITY | ||
+ | |||
+ | While in the world of automation a large number of proprietary and/or insecure communications protocols are still being used, modern web-like protocols and approaches like ReST and SOA are trying to become the standard to network “Everything”. In this talk, two of the most promising candidates – OPC UA and MTConnect – will be presented and their different security models compared, weaknesses explained. This provides valuable insight for developers as well as auditors of IoT applications. | ||
+ | |||
+ | David Fuhr is a security researcher based in Warsaw, Poland. A trained mathematician, he has specialized in cryptography, network and cloud security. He loves to analyze not only protocols but likewise technical standards. David is the founder of NTITY [www.ntity.de], a Berlin, Germany based advanced cyber security consultancy. He has a strong track record of technical audits and risk assessments of ICS (Industrial Control Systems) and automation technology with a focus on critical infrastructures and works internationally as a trainer, coach, instructor, and presenter. | ||
+ | |||
+ | |||
+ | ==OWASP Krakow Event (OWASP EEE) 6.10.2015== | ||
+ | |||
+ | [[File:Owasp_eee.jpg|left|alt=Owasp_eee.jpg|150px]] | ||
+ | |||
+ | We would like to accounce OWASP Krakow Event which is a part of global OWASP Eastern European Event (EEE). The local Krakow event will take place on 6th October. | ||
+ | |||
+ | More details about this event [https://www.owasp.org/index.php/OWASP_EEE_Krakow_Event_2015 '''here.''']. | ||
+ | |||
+ | '''CFP''' [https://docs.google.com/a/owasp.org/forms/d/1vvlf8THhK3Pmx2z-L5o9SK2mb75cdqRRnlZpTn_uvNQ/viewform '''here.'''] | ||
+ | |||
+ | Global event page is [http://owaspeee.appsec.xyz '''here.'''] | ||
+ | |||
+ | Follow us on [https://twitter.com/owasp_eee '''Twitter.'''] | ||
+ | |||
+ | |||
+ | ==OWASP Kraków 10.09.2015 == | ||
+ | |||
+ | On 10. september at 6 p.m. we meet in Tech Space (Wyczółkowskiego 7 street) in Kraków. Both talks will be in English. | ||
+ | |||
+ | '''Agenda:''' | ||
+ | |||
+ | 18 00 - 18 15 Intro, [https://www.owasp.org/index.php/File:Owasp_meeting_10092015.pptx slides here] | ||
+ | |||
+ | 18 15 - 19 00 '''From bug to Metasploit module''', Ewerson (Crash) Guimaraes, EPAM | ||
+ | |||
+ | The Local File Incluison, privilege escalation, CSRF and command execution are old bugs, but still present in | ||
+ | applications available over internet. | ||
+ | |||
+ | Over the past two years were about 300 publications related to this bugs in applications that can be downloaded and easily installed on a server exposed in internet. | ||
+ | |||
+ | These statistics not include institutional sites and systems that are developed specifically internally or to a particular customer, that is, there are hundreds of thousands of vulnerable systems. | ||
+ | |||
+ | This talk will show a effective way to exploit this flaws and furthermore, show the way to better understanding and explore the bugs effectively and how to create a Metasploit module/exploit. | ||
+ | |||
+ | 19 00 - 19 15 Break | ||
+ | |||
+ | 19 15 - 20 00 '''Google bug bounty - is it worth it or just a waste of time?''', Michał Bentkowski, securitum.pl, [https://www.owasp.org/index.php/File:Google_bounty.pdf slides here] | ||
+ | |||
+ | In the presentation I will talk about my two year adventures with Google’s bug bounty programme. I will share my general feeling about organisational issues like: communication or payments, but most importantly I will show a few specific bugs I have submitted. These will particuarly include some unusual XSS bugs, exploiting quirks in both browsers and web servers. | ||
+ | |||
+ | 20 00 - ... Outro | ||
+ | |||
+ | '''Registration''': | ||
+ | https://www.eventbrite.com/e/owasp-meeting-10092015-tickets-18296621688 | ||
+ | |||
+ | ==DevOps + OWASP Kraków 18.03.2015== | ||
+ | |||
+ | Zapraszamy na spotkanie zorganizowane wspólnie z [http://www.meetup.com/Krakow-DevOps Kraków DevOps]. Start 18 marca 2015, godzina 18:00, w Tech Space ([http://maps.google.com/maps?f=q&hl=en&q=Leona+Wycz%C3%B3%C5%82kowskiego+7%2C+Krak%C3%B3w%2C+pl Leona Wyczółkowskiego 7], ). | ||
+ | |||
+ | '''Agenda''': | ||
+ | |||
+ | 18:00 - 18:15 / Przywitanie | ||
+ | |||
+ | 18:15 - 19:15 / Monitoring @ scale | ||
+ | |||
+ | 19:15 - 19:45 / Social (aka piwo+pizza) | ||
+ | |||
+ | 19:45 - 20:15 / [https://www.owasp.org/images/d/df/Owasp_plus_devops.pptx OWASP + DevOps - kilka przydatnych narzędzi] | ||
+ | |||
+ | 20:15 - 22:00 / Social (aka piwo+pizza) | ||
+ | |||
+ | '''Prezentacje''': | ||
+ | |||
+ | '''Monitoring @ scale''' (Sławomir Skowron) | ||
+ | |||
+ | Sławek opowie o tym jak był budowany i jak ewoluował, aby stać się skalowalnym i wydajnym (5 mln metryk na minutę) systemem zbierania pomiarów z każdego komponentu infrastruktury w zmiennym środowisku chmury AWS. | ||
+ | |||
+ | '''OWASP + DevOps''' (Mateusz Olejarka) | ||
+ | |||
+ | W trakcie prezentacji zostaną pokrótce przedstawione projekty OWASP, które mogą przydać się zwłaszcza w modelu continious delivery. W projektach takich szczególnie ważne jest dostarczenie programistom właściwych narzędzi, które pozwolą na lepsze zintegrowanie cech bezpieczeństwa z aplikacją. Omówione zostaną między innymi: | ||
+ | ESAPI - to biblioteka, która ułatwia pisanie bardziej bezpiecznych aplikacji lub wprowadzanie zabezpieczeń do istniejących aplikacji. | ||
+ | AppSensor - to koncepcja i referencyjna implementacja narzędzi, które pozwalają na wykrywanie i odpowiadanie na ataki z poziomu aplikacji. | ||
+ | |||
+ | '''REJESTRACJA''': http://www.meetup.com/Krakow-DevOps/events/220965784/ | ||
+ | |||
+ | ==SEMAFOR== | ||
+ | |||
+ | Już po raz ósmy stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum Bezpieczeństwa i Audytu IT, która odbędzie się w Warszawie w dniach 26 i 27 marca 2015 roku. | ||
+ | |||
+ | Konferencja SEMAFOR jest jednym z najważniejszych wydarzeń związanych ze światem bezpieczeństwa informacji i audytu IT w Polsce. W tym roku pod hasłem "Nowa odsłona bezpieczeństwa informacji i audytu IT" skoncentrujemy się wokół praktycznych zagdanień z obszaru audytu IT, technicznych i zarządczych aspektów bezpieczeństwa informacji, wyzwaniami związanymi z regulacjami prawnymi i IT Governance. | ||
+ | |||
+ | W tym roku pod hasłem „Nowa odsłona bezpieczeństwa informacji i audytu IT” skoncentrujemy się wokół praktycznych zagadnień z obszaru audytu IT, technicznych i zarządczych aspektów bezpieczeństwa informacji, wyzwaniach związanych z regulacjami prawnymi i IT Governance. | ||
+ | |||
+ | Na program konferencji złożą się 3 ścieżki merytoryczne: | ||
+ | |||
+ | * Audyt IT, ścieżka poświęcona wymaganiom audytu IT w zmieniającym się świecie IT, wyzwaniom stojącym przed IT Governace, itp. | ||
+ | * Zarządzanie bezpieczeństwem informacji - poświęcona zarządzaniem bezpieczeństwem informacji i ryzykiem operacyjnym, wyzwaniami regulacyjnymi, ochroną danych osobowych i prywatności, jak również ciągłości działania. Chcielibyśmy omówić także miękkie aspekty pracy w bezpieczeństwie informacji. | ||
+ | * Techniczne aspekty bezpieczeństwa informacji, w której prowadzone będą prelekcje bardziej techniczne poświęcone cyberbezpieczeństwu, zagrożeniom, atakom, informatyce śledczej, a także zabezpieczeniom aplikacji, infrastruktury IT w tym infrastruktury krytycznej, bezpieczeństwie w rozwoju aplikacji, itp. | ||
+ | |||
+ | Dla członków OWASP zniżka od cen na stronie to dodatkowe 10%. | ||
+ | |||
+ | Strona konferencji: http://www.computerworld.pl/konferencja/semafor2015 | ||
+ | |||
+ | ==2014== | ||
+ | |||
+ | ==OWASP Poznań 2.12.2014== | ||
+ | |||
+ | Serdecznie zapraszam na kolejne spotkanie OWASP w Poznaniu, które odbędzie się '''2 grudnia (16:00-18:00)'''. | ||
+ | |||
+ | Spotkanie odbędzie się w '''Centrum Kongresowe i Hotel IOR ul. Węgorka 20''' | ||
+ | |||
+ | |||
+ | '''Agenda''': | ||
+ | |||
+ | 16:00 - 16:10 - Otwarcie spotkania, aktualności OWASP Polska | ||
+ | |||
+ | 16:15 - 17:00 - [https://www.owasp.org/images/d/d9/Prezentacja-owasp-2014.pdf '''Phishing - Atak i obrona - Dawid Golak (Allegro.pl)'''] | ||
+ | |||
+ | 17:05 - 18:00 - [https://www.owasp.org/images/a/ac/Marek_Zachara-raport.pdf '''Modelowanie zachowań użytkowników serwisów internetowych w celu identyfikacji prób ataku (dr Marek Zachara, AGH)'''] | ||
+ | |||
+ | '''Rejestracja''': [http://www.eventbrite.com/e/spotkanie-owasp-poznan-02122014-tickets-14441774737 tutaj.] | ||
+ | |||
+ | |||
+ | ==OWASP Warszawa 19.11.2014== | ||
+ | |||
+ | Spotkanie OWASP w Warszawie odbędzie się 19.11.2014 w Centrum Sztuki Fort Sokolnickiego ul. Stefana Czarnieckiego 51, start godzina 17:30. | ||
+ | |||
+ | '''Agenda:''' | ||
+ | |||
+ | 17:30 - 17:45 - Otwarcie spotkania, aktualności OWASP Polska | ||
+ | |||
+ | 17:45 - 18:15 - [https://www.owasp.org/images/9/93/Application_Security_Verification_Standard.pdf '''OWASP ASVS 2.0 (Application Security Verification Standard)'''] - Wojciech Dworakowski, OWASP Poland Chapter Leader, Securing | ||
+ | |||
+ | Prezentacja ma na celu przedstawienie standardu weryfikacji bezpieczeństwa aplikacji ASVS (Application Security Verification Standard). Standard ten można stosować już na etapie definiowania wymagań w celu ustalenia wymagań dotyczących zabezpieczeń (również niefunkcjonalnych). Na etapie weryfikacji umożliwia on sprawdzenie czy są stosowane zasady dobrej praktyki i pozwala audytorowi na wypowiedzenie się o tym co jest poprawne a nie tylko na koncentrowanie się na błędach, jak to ma miejsce przy nieustandaryzowanych testach bezpieczeństwa. Warto podkreślić, że ASVS ma formę listy kontrolnej podzielonej na poziomy w zależności od ryzyka, w związku z tym zakres weryfikacji może być dobrany adekwatnie do specyfiki aplikacji. | ||
+ | |||
+ | Standard ten został stworzony w roku 2009 roku w ramach projektu OWASP (Open Web Application Security Project) i został przetłumaczony na kilkanaście języków, w tym polski. W tym roku ukazała się aktualizacja standardu ASVS i na tej nowej wersji będzie skupiona prezentacja. | ||
+ | |||
+ | 18:15 - 18:45 - [https://www.owasp.org/index.php/File:Jakub_Botwicz_-_Prezentacja_OWASP_-_2014-11-19.pdf '''Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach?''' - Jakub Botwicz, EY Advanced Security Center] | ||
+ | |||
+ | W prezentacji zostanie przedstawiony przegląd technik i narzędzi pozwalających identyfikować podatności bezpieczeństwa w aplikacjach, wraz z dyskusją na temat specyfiki poszczególnych metod. | ||
+ | |||
+ | 18:45 - 19:00 - Kwestie dodatkowe, zamknięcie spotkania | ||
+ | |||
+ | '''Rejestracja''' [http://www.eventbrite.com/e/owasp-poland-warszawa-19-listopada-2014-tickets-14188561369?aff=wiki tutaj.] | ||
+ | |||
+ | ==OWASP Kraków 21.10.2014== | ||
+ | |||
+ | Zapraszamy na kolejne spotkanie poświęcone bezpieczeństwu aplikacji. Tym razem będzie nas gościć '''Akademia Górniczo Hutnicza''' w Krakowie (pawilon '''C-2''', sala '''224'''). Start '''18:00'''. | ||
+ | |||
+ | |||
+ | W programie dwa wykłady dotyczące badań nad bezpieczeństwem aplikacji. Obydwa tematy miały niedawno premierę na międzynarodowych konferencjach - "AppSec Research" w Cambridge i "International Conference on Computational Collective Intelligence Technologies and Applications" w Seulu. Udało nam się namówić prelegentów na zaprezentowanie tych badań na naszym spotkaniu. | ||
+ | |||
+ | |||
+ | Ponadto chcemy podyskutować o karierze w bezpieczeństwie informacji a konkretnie o certyfikatych zawodowych. Pojawi się również nowy stały element naszych spotkań - '''"Giełda Pracy"''' czyli czas kiedy potencjalni pracodawcy będą mogli krótko zaprezentować swoją ofertę pracy lub staży. Pracodawcy, którzy skorzystać z tej okazji, proszeni są o wcześniejszy kontakt z Wojciechem Dworakowskim ([email protected]). Czas na pojedynczą prezentację pracodawcy - 3 min. | ||
+ | |||
+ | '''Program:''' | ||
+ | |||
+ | 1. [https://www.owasp.org/images/a/ac/Marek_Zachara-raport.pdf '''Modelowanie zachowań użytkowników serwisów internetowych w celu identyfikacji prób ataku (dr Marek Zachara, AGH)'''] | ||
+ | |||
+ | Przedstawienie wyników projektu badawczego nakierowanego na automatyczne tworzenie profilu zachowań użytkowników serwisu internetowego, tu w rozumieniu przejść pomiędzy stronami (page flow). Reprezentacja grafowa takich przejść pozwala z jednej strony poradzić sobie z dużą ilością danych (przechowywanych w jednym grafie), z drugiej identyfikować nietypowe przejścia. Dzięki temu można identyfikować próby ataku np. typu 'forceful browsing', próby identyfikowania standardowych modułów administracyjnych (np. 'phpmyadmin') itp. Dużą zaletą tego rozwiązania jest brak konieczności konfiguracji i utrzymywania tego systemu ochrony - dostosowuje się on 'na bieżąco' do istniejącej aplikacji internetowej. | ||
+ | |||
+ | |||
+ | 2. [https://www.owasp.org/images/f/f9/Przechwytywanie_ruchu_w_niestandardowych_protoko%C5%82ach_sieciowych_JK.pdf '''Przechwytywanie ruchu w niestandardowych protokołach sieciowych (Jakub Kałużny, SecuRing)'''] | ||
+ | |||
+ | Istnieje mnóstwo narzędzi umożliwiających przechwytywanie ruchu HTTP/HTTPS, co świetnie się sprawdza podczas testowania aplikacji webowych oraz mobilnych. Jednak podczas testów penetracyjnych specjalizowanego oprogramowania "embedded" lub "grubego klienta" często spotykamy się z nieznanymi i nieudokumentowanymi protokołami sieciowymi. Takiej warstwy pośredniczącej nie da się obsłużyć za pomocą szeroko dostępnych narzędzi "local proxy", a bez zrozumienia i rozłożenia protokołu na czynniki pierwsze, testowanie "backendu" jest bardzo ograniczone. Z naszego doświadczenia wynika, że pod przykrywką nieznanego protokołu, stanowiącego zabezpieczenie typu "security by obscurity", często znajdują się kompletnie niezabezpieczone mechanizmy łamiące wszelkie zasady dotyczące bezpiecznego programowania. | ||
+ | |||
+ | |||
+ | 3. '''Certyfikaty zawodowe dotyczące bezpieczeństwa IT/aplikacji - Czy warto? (otwarta dyskusja)''' | ||
+ | |||
+ | CISSP, CISM, OSCP, OSCE, eCCPT, Sec+, itp. itd. Co wybrać? Czy warto inwestować czas i pieniądze? Proponujemy kontynuacje dyskusji, która wywiązała się na grupie Linkedin OWASP Poland. Zapraszamy zarówno tych którzy zastanawiają się nad wyborem ścieżki zawodowej, tych którzy już zaczęli ale myślą czy warto inwestować w certyfikaty zawodowe, tych którzy już zdobyli któreś z certyfikatów i zechcieliby podzielić się swoimi doświadczeniami, jak i pracodawców. | ||
+ | |||
+ | |||
+ | '''Rejestracja''' [http://www.eventbrite.com/e/spotkanie-owasp-poland-krakow-2014-10-21-tickets-13551435709?aff=wiki tutaj.] | ||
+ | |||
+ | ==OWASP Kraków 26.05.2014== | ||
+ | |||
+ | We would like to invite You to the next OWASP meeting. It will take place on 26. May, and will be joined with CONFidence conference (http://2014.confidence.org.pl/pl/) before party. Therefore You could expect multinational company and a few conference speakers present as well. Both presentations will be in English. | ||
+ | |||
+ | Place: Barka Augusta (barge Augusta on Wisła river, near Podgórska street, http://www.restauracjaaugusta.pl/) | ||
+ | |||
+ | '''Program:''' | ||
+ | * 19.00-19.15 OWASP News | ||
+ | * 19.15-19.45 [https://www.owasp.org/images/6/64/Owasp_prez.pdf '''Security in continuous delivery environment''', Jakub Nawalaniec, Base CRM] | ||
+ | |||
+ | The presentation will cover topics related to developing secure SOA applications in Continuous Delivery environment, based on my experiences from Base CRM. | ||
+ | I will begin exploring the topic by describing formal and technical aspects of software development in Base. I will showcase how we are dealing with typical SOA related security problems and our technical solutions that help to us to mitigate most common risks. | ||
+ | Next I will outline the dangers of Continuous Delivery in SOA environment. I will describe both technical and organizational efforts to improve security in such environment. | ||
+ | |||
+ | * 19.45-20.00 short break | ||
+ | * 20.00-20.40 [https://prezi.com/pbayctxyq9ya/bdd-security-owasp-poland-edition/ '''BDD Security - Automated security testing based on BDD''', Krystian Piwowarczyk, Rule Financial] | ||
+ | |||
+ | Software development life-cycle is getting more and more automated. | ||
+ | Continuous integration has become the standard nowadays. Continuous deployment reduced the time in delivering fixes from days to hours or even minutes. Automated tests are used from single method level to whole system integration level. | ||
+ | Is it possible to move security tests from pre-release phase to this automated software development life-cycle? How can we deliver top notch security level to high risk web platforms? What toolset can we use to do this? | ||
+ | |||
+ | |||
+ | Registration: http://owasp-krakow-20140525.eventbrite.com | ||
+ | |||
+ | ==Open Source Day 2014== | ||
+ | |||
+ | OWASP Polska został partnerem konferencji Open Source Day 2014. | ||
+ | |||
+ | W programie - wykłady prowadzone przez specjalistów z czołówki światowych firm w sektorze Open Source: Red Hat, EnterpriseDB, Liferay, IBM, MongoDB, Intel, DataStax, Github i innych... | ||
+ | |||
+ | Będą też tematy stricte OWASP-owe: | ||
+ | * Omówienie dokumentów i narzędzi OWASP | ||
+ | * Warsztat modsecurity na którym będzie m.in. o zastosowaniu OWASP ModSecurity Core Rule Set | ||
+ | |||
+ | Pełna agenda konferencji: http://opensourceday.pl/osd-2014/agenda | ||
+ | |||
+ | Warsztaty: http://opensourceday.pl/osd-2014/warsztaty | ||
+ | |||
+ | Konferencja odbędzie się 13-14 maja w Warszawie w hotelu Marriott. | ||
+ | Wstęp wolny, po wcześniejszej rejestracji na stronie: http://opensourceday.pl/osd-2014/rejestracja-osd-2014 | ||
+ | |||
+ | ==4Developers== | ||
+ | |||
+ | OWASP Poland objął patronat nad tegoroczną edycją konferencji 4Developers. Dla sympatyków OWASP organizatorzy obiecali 15% zniżki od stawek standardowych, po podaniu kodu promocyjnego: 2k14-OWASP. | ||
+ | |||
+ | Więcej informacji na stronie konferencji: http://2014.4developers.org.pl/pl/ | ||
+ | |||
+ | ==SEMAFOR 2014== | ||
+ | |||
+ | Nie może Cię zabraknąć na Semaforze 2014 – najważniejszym wydarzeniu związanym z IT Security w Polsce. Już po raz siódmy stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na SEMAFOR 2014. VII Forum Bezpieczeństwa i Audytu IT, które odbędzie się 27-28 marca 2014 roku w Warszawie. | ||
+ | |||
+ | W tym roku program koncentruje się na zagadnieniach audytu IT i bezpieczeństwa informacji dotyczących czterech aktualnych top trendów: przetwarzanie w modelu Cloud Computing, urządzenia mobilne, sieci społecznościowe oraz Big Data. | ||
+ | |||
+ | Dla odbiorców OWASP rabat 10% – cena 1125 zł netto przy zgłoszeniu do 14 marca. By wziąć udział w najważniejszym wydarzeniu związanym z IT Security w Polsce i skorzystać z rabatu – zarejestruj się poprzez [http://www.computerworld.pl/konferencja/Semafor2014/wykup?token=OWASP ten link.] | ||
+ | |||
+ | Więcej informacji na temat konferencji można znaleźć [http://www.computerworld.pl/konferencja/Semafor2014/okonferencji?token=OWASP tutaj.] | ||
+ | |||
+ | ==OWASP Kraków - 29 stycznia 2014== | ||
+ | Zapraszamy na spotkanie OWASP Poland w Krakowie, 29 stycznia 2014 (środa) o godzinie 17:00 w siedzibie Google, Rynek Główny 13. Sala Google for Entrepreneurs, III piętro: | ||
+ | |||
+ | '''Program:''' | ||
+ | * 17.00-17.15 OWASP News | ||
+ | * 17.15-18.15 [http://runic.pl/owasp/lpilorz-ios-webview-pl.pdf Bezpieczeństwo WebView w systemie iOS] - Łukasz Pilorz | ||
+ | * 18.15-18.30 przerwa kawowa | ||
+ | * 18.30-19.30 [https://www.owasp.org/images/9/93/Sql_injection_prezentacja_owasp_201401.pdf Obrona przed SQL-injection w aplikacjach Java/J2EE] - Piotr Bucki (j-labs) | ||
+ | |||
+ | '''Rejestracja:''' | ||
+ | http://owasp-krakow-jan2014.eventbrite.com | ||
+ | |||
+ | ==2013== | ||
+ | |||
+ | ==OWASP Kraków - 17 października 2013== | ||
+ | Zapraszamy na spotkanie OWASP Poland w Krakowie, 17 października 2013 (czwartek) o godzinie 17:00 w siedzibie Google, Rynek Główny 13. Sala Google for Entrepreneurs, III piętro: | ||
+ | |||
+ | '''Program:''' | ||
+ | * 17.00-17.15 OWASP News | ||
+ | * 17.15-18.00 Shall We play a game? - Maciej Lasyk, (ex-Ganymede) ([https://www.owasp.org/images/a/ab/Shall-we-play-a-game.pdf prezentacja]) | ||
+ | * 18.00-18.15 przerwa kawowa | ||
+ | * 18.15-18.45 OWASP Top 10 i ASVS 2013 - Co nowego? - Wojciech Dworakowski ([http://www.slideshare.net/wojdwo/owasp-top10-2013 prezentacja]) | ||
+ | * 18.45-19.30 Świat po Snowdenie. Czy i co możemy z tym zrobić? Dyskusja | ||
+ | |||
+ | '''Rejestracja:''' | ||
+ | http://owasp-krakow.eventbrite.com/ | ||
+ | ==OWASP Poznań - 24 września 2013== | ||
+ | Zapraszamy na trzecie spotkanie OWASP Poland w Poznaniu, 24 września 2013 (wtorek) o godzinie 15:00 w Centrum Konferencyjnym IOR, ul. Władysława Węgorka 20A (wejście od Grunwaldzkiej) | ||
+ | |||
+ | '''Program:''' | ||
+ | * 15.00 - OWASP News | ||
+ | * 15.10 - Taras Ivashchenko [[Media:oxdef_csp_poland.pdf | "Content Security Policy"]] | ||
+ | * 15.55 - przerwa kawowa | ||
+ | * 16.10 - Michał Olczak [[Media:AntiMalware_Solution.pdf | "Antimalware Webapp Solution"]] | ||
+ | * 16.55 - TBA | ||
+ | |||
+ | '''Rejestracja:''' | ||
+ | https://owasppoznan.eventbrite.com | ||
+ | |||
+ | ==OWASP Warszawa - 26 czerwca 2013== | ||
+ | Czerwcowe spotkanie OWASP w Warszawie. | ||
+ | |||
+ | '''Program:''' | ||
+ | * 18:00 - 18:15 - Otwarcie spotkania, aktualnosci OWASP Polska | ||
+ | * 18:15 - 19:00 - "Ataki rozproszonej odmowy usługi - przegląd zagrożeń" - Aleksander Ludynia, Menedżer, Ernst & Young | ||
+ | * 19:00 - 19:30 - "Ataki rozproszonej odmowy usługi - omówienie zabezpieczeń" - Paweł Chwiećko, Senior Security Engineer, VP | ||
+ | |||
+ | Dostępność danych jest kluczowym czynnikiem dla efektywnej realizacji działalności biznesowej. Jako niezwykle istotny element biznesu stała się ona celem poważnych ataków mających na celu uniemożliwienie dostępu do danych - ataków Denial of Service (DoS). Podczas pierwszej prezentacji zostaną omówione ataki DoS oraz DDoS, ich parametry, statystyki oraz źródła pochodzenia. Zademonstrowane zostaną również narzędzia, za pomocą których są one prowadzone. | ||
+ | Druga prezentacja poruszy problematykę skutecznej obrony przed atakami DDoS oraz będzie wstępem do dyskusji dotyczącej zagadnień związanych z atakami odmowy usługi. | ||
+ | |||
+ | Aleksander jest Managerem w Dziale Zarządzania Ryzykiem Informatycznym w Ernst & Young odpowiedzialnym za realizację projektów związanych z bezpieczeństwem systemów informatycznych. Specjalizuje się w testach penetracyjnych aplikacji internetowych oraz przeglądach bezpieczeństwa. | ||
+ | |||
+ | Paweł od 12 lat zajmuje się bezpieczeństwem i ochroną informacji. Od 6 lat związany z globalną instytucją finansową. W latach 2007-2010 członek zespołu EMEA Security Engineering w Londynie zajmującego się m.in. projektowaniem i wdrażaniem rozwiązań network security w regionie EMEA. Od 2011 r. członek zespołu Global Network Security Threat Defense Engineering zajmującego się m.in. testowaniem i opracowywaniem rozwiązań DDoS Protection, IDPS, SSL Decryption, NAC. Główne obszary zainteresowań w bezpieczeństwie informacji to Cyber Crime i Cyber Wars. | ||
+ | |||
+ | '''Rejestracja:''' | ||
+ | |||
+ | Lokalizacja, dojazd i rejestracja na stronie [http://www.eventbrite.com/event/6458831539 EventBrite]. | ||
+ | |||
+ | ==OWASP Kraków - 8 maja 2013== | ||
+ | Majowe spotkanie OWASP w Krakowie. | ||
+ | |||
+ | Program | ||
+ | |||
+ | *OWASP News | ||
+ | *Bezpieczeństwo a zarządzanie projektami - Wojciech Dworakowski (30 minut) - Jak NIE bawić się w IT, czyli słów kilka o błędach większych i mniejszych w zarządzaniu (nie tylko) systemami i sprzętem. Prezentacja zawiera studium kilku autentycznych przypadków, które spotkały autora prezentacji i jego znajomych, pracujących w branży IT. Całość podzielona jest na analizę kilku sytuacji, wśród których poruszane są następujące tematy: 1. Mimowolne udostępnienie poufnych danych oraz danych osobowych, 2. Problemy występujące na styku zarządzania zespołem i kwestiami technicznymi (z punktu widzenia administratora sieci i systemu) – omówienie zagrożeń związanych również z bezpieczeństwem tych sieci/systemów, 3. Słabe punkty „mocnych” systemów zabezpieczeń – czyli dlaczego nawet atak fizyczny na biuro firmy ma szansę powodzenia, 4. Błędy popełniane często przez kierowników zespołów, a mogące mieć kluczowe znaczenie w kwestiach bezpieczeństwa IT, 5. Czy cloud computing jest OK i dlaczego nie? [[File:Obcy kod (2013).pptx]] | ||
+ | * Model bezpieczeństwa rozszerzeń Google Chrome - Krzysztof Kotowicz (SecuRing) (30 minut) - Rozszerzenia Google Chrome mogą pomóc ci w sporządzaniu notatek, pozwalają przeglądać feedy RSS, wpółdzielić odwiedzane strony ze znajomymi. Te aplikacje HTML5 mogą jednak również śledzić Cię, przekierować ruch na złośliwy serwer proxy, wykonać kod Javascript na dowolnej domenie (Global XSS), odczytać wszystkie twoje ciasteczka i całą historię. Wiele napisanych rozszerzeń zawiera podatności, dzięki którym atakujący może przejąć kontrolę nad Twoją przeglądarką. Na prezentacji dowiesz się, jak wygląda model bezpieczeństwa rozszerzeń Google Chrome, zobaczysz skutki wykorzystania podatności w popularnych rozszerzeniach. Nauczysz się również analizować kod rozszerzeń tak, aby samemu przygotowywać ataki. | ||
+ | * Dyskusja na temat zagrożeń związanych z włączaniem do kodu strony obcej zawartości (reklam, statystyk, itp.) (30-60 minut) - Chcielibyśmy przeanalizować zagrożenia jakie wiążą się np. z osadzeniem w kodzie strony reklam serwowanych przez add-server. Jeśli atakujący przejmie kontrolę nad add-serverem (a nie jest to z reguły oprogramowanie pisane z myślą o bezpieczeństwie ;) to może w łatwy sposób np. osadzać wrogi kod na wszystkich stronach obsługiwanych przez add-serwer, zmieniać wygląd stron, itp. Problem będziemy chcieli omówić na przykładzie realnych incydentów - instytucji zaufania publicznego z branży finansowej oraz popularnego portalu poświęconego bezpieczeństwu IT. Liczymy na gorącą dyskusję! [[File:Bezpieczeństwo a zarządzanie projektami (2013).pptx]] | ||
+ | |||
+ | Szczegóły i rejestracja: http://www.eventbrite.com/event/6458841569 | ||
+ | ==OWASP Poznań - 11 kwietnia 2013== | ||
+ | Kwietniowe spotkanie OWASP w Poznaniu. | ||
+ | |||
+ | '''Program:''' | ||
+ | * 15.00 - OWASP News | ||
+ | * 15.15 - Jakub Masłowski "Praktyka Bezpiecznika - za kulisami w Allegro" | ||
+ | * 16.00 - Jakub Tomaszewski "OWASP Top 10 2013" | ||
+ | |||
+ | '''Rejestracja:''' | ||
+ | |||
+ | Lokalizacja, dojazd i rejestracja na stronie [https://owasppoznan.eventbrite.com EventBrite]. Biletów nie trzeba przynosić - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu. | ||
+ | |||
+ | ==OWASP Warszawa - 6 marca 2013== | ||
+ | Marcowe spotkanie OWASP w Warszawie. | ||
+ | |||
+ | '''Program:''' | ||
+ | * 18:00 - 18:15 - Otwarcie spotkania, aktualności OWASP Polska | ||
+ | * 18:15 - 19:00 - "Why can't we secure our applications?" - Eoin Keary, wiceprezes OWASP. Omówienie obecnej sytuacji w zakresie bezpieczeństwa aplikacji wobec aktualnych wyzwań i zagrożeń w tym obszarze (prezentacja w języku angielskim). Eoin Keary jest znanym liderem w obszarze bezpieczeństwa oprogramowania i testów penetracyjnych. W ramach działalności w OWASP nadzorował wdrażanie OWASP Testing and Security Code Review Guides oraz OWASP SAMM, ASVS and the OWASP Cheat Sheet Series. Swoją działalnością przyczynił się do rozwoju bezpieczeństwa w największych światowych korporacjach finansowych oraz FMCG. | ||
+ | * 19:00 - 19:45 - [[Media:OWASP_lpilorz_PHP_2012.pdf|"2012 w bezpieczeństwie aplikacji PHP"]] - Łukasz Pilorz, Allegro. Przegląd najciekawszych podatności we frameworkach i popularnych aplikacjach PHP z ostatnich kilkunastu miesięcy. Zaprezentowane zostaną przykłady podatnego kodu, praktyczne metody wykorzystania podatności, a także zaaplikowane łatki. Łukasz Pilorz jest specjalistą ds. bezpieczeństwa IT w Grupie Allegro. Prywatnie o bezpieczeństwie pisze na swoim blogu: http://lukasz.pilorz.net | ||
+ | |||
+ | '''Rejestracja:''' | ||
+ | |||
+ | Lokalizacja, dojazd i rejestracja na stronie [http://www.eventbrite.com/event/5563410310 EventBrite]. Biletów nie trzeba przynosić - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu. | ||
+ | |||
+ | ==OWASP Kraków - 20 lutego 2013== | ||
+ | Lutowe spotkanie OWASP w Krakowie. | ||
+ | |||
+ | '''Program:''' | ||
+ | |||
+ | * OWASP News | ||
+ | * Leszek Miś - [http://www.slideshare.net/kravietz/czy-twoj-waf-to-potrafi "Czy Twój WAF to potrafi? - modsecurity"] | ||
+ | * Łukasz Lenart - [http://www.slideshare.net/kravietz/struts2-howsecure "How secure your web framework is? Based on Apache Struts 2"] | ||
+ | * Piotr Konieczny - [http://niebezpiecznik.pl/OWASP2013-Krakow-CSP.pdf "Content Security Policy"] | ||
+ | |||
+ | [[File:Farmaprom logo.jpg | link=http://www.farmaprom.pl]] - sponsor spotkania. | ||
+ | |||
+ | '''Opisy:''' | ||
+ | |||
+ | Temat: "Czy Twój WAF to potrafi? - modsecurity." | ||
+ | |||
+ | Opis: WAF WAFowi nie równy. W dobie coraz większej liczby uruchamianych aplikacji webowych i coraz częściej przeprowadzanych na nie ataków, posiadanie firewalla aplikacyjnego stało się kluczowe, a w niektórych środowiskach wręcz wymagane. Czy jesteśmy skazani na rozwiązania komercyjne? A może nie znamy w pełni możliwości otwartoźródłowych WAFów? Podczas prezentacji przedstawię funkcjonalności drzemiące w projekcie modsecurity z uwzględnieniem realnych przypadków i własnych doświadczeń. Nie zabraknie również nowinek dotyczących rozwoju projektu jak i omówienia ciekawych sposobów jego wykorzystania jak np. wykrywanie faktycznej lokalizacji/IP atakującego za TOR-em. | ||
+ | |||
+ | O autorze: IT Security Architect w firmie Linux Polska Sp. z o.o. Lider projektu WALLF Web Gateway. Od 10 lat zawodowo związany, a prywatnie zafascynowany oprogramowaniem open source, głównie, ale nie tylko, pod kątem aspektów związanych z (nie)bezpieczeństwem IT. Instruktor/egzaminator technologii Red Hat. Prowadzi szkolenia i egzaminy ze ścieżki RHCA/RHCSS/RHCE. | ||
+ | |||
+ | '''Rejestracja:''' | ||
+ | |||
+ | Lokalizacja, dojazd i rejestracja na stronie [http://www.eventbrite.com/event/5451555750 EventBrite]. Biletów nie trzeba przynosić - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu. | ||
+ | |||
+ | [[Image:Confidence 2013.png |200px | link=http://2013.confidence.org.pl/]] - konferencja CONFidence 2013, 28-29 maja w Krakowie, zniżka 15% z kodem <code>2k13-owasp</code> | ||
+ | |||
+ | [[File:Seconference logo.png |200px |link=http://2013.seconference.pl/]] - konferencja SEConference 2013, 24-25 maja w Krakowie. | ||
+ | |||
+ | ==Semafor 2013== | ||
+ | Konferencja Semafor na stałe wpisała się w polski kalendarz społeczności IT i bezpieczeństwa informacji. Unikalna formuła będąca połączeniem tematyki z obszarów nadzoru IT (IT Governance) i bezpieczeństwa informacji już od pięciu lat przyciąga uwagę kadry kierowniczej przedsiębiorstw, sektora publicznego, administracji oraz organizacji pozarządowych. Konferencja stwarza warunki do bezpośrednich rozmów, dyskusji i wymiany doświadczeń między dyrektorami, menedżerami oraz ekspertami technicznymi. | ||
+ | |||
+ | Semafor 2013 umożliwia spotkanie z autorytetami branżowymi, doświadczonymi prelegentami i znanymi na całym świecie osobistościami zajmującymi się bezpieczeństwem informacji. To także okazja do zapoznania się z najnowszymi wyzwaniami bezpieczeństwa, trendami zagrożeń, standardami i rozwiązaniami technicznymi w obszarze IT i ochrony informacji. | ||
+ | |||
+ | Konferencja Semafor 2013 jest organizowana po raz szósty, pierwsza odbyła się w 2007 roku. Wydarzenie organizują stowarzyszenia ISSA Polska i ISACA Warsaw Chapter oraz magazyn Computerworld. W przygotowaniu spotkania udział bierze stowarzyszenie OWASP Polska i Fundacja Bezpieczna Cyberprzestrzeń. Nad programem konferencji czuwa Rada Programowa, w której zasiadają doświadczeni przedstawiciele ww. organizacji, przedstawiciele kierownictwa IT i komórek bezpieczeństwa w czołowych firmach branży finansowej, technologicznej, telekomunikacyjnej, energetycznej i sektora publicznego. | ||
+ | |||
+ | Wśród prelegentów można spotkać wybitnych przedstawicieli ze świata IT i bezpieczeństwa takich jak Ira Winkler, John Mitchell, Raoul Chiesa czy Eoin Keary. | ||
+ | |||
+ | http://konferencje.computerworld.pl/konferencje/semafor2013/program.html | ||
+ | |||
+ | ==OWASP Poznań - 31 stycznia 2013== | ||
+ | Zapraszamy na pierwsze spotkanie OWASP Poland w Poznaniu. Dostępny jest [http://www.youtube.com/channel/UCmQdgdrKZtfypJgHEop4fZg kompletny zapis video ze spotkania]. | ||
+ | |||
+ | * 15.00 Wojciech Dworakowski "Open Web Application Security Project" | ||
+ | * 15.45 Paweł Krawczyk [http://prezi.com/gsimnen3whfv/zarzadzanie-bezpieczenstwem-aplikacji-w-duzej-firmie/ "Zarządzanie bezpieczeństwem aplikacji w dużej firmie"] | ||
+ | * 16.30 Krzysztof Kotowicz, SecuRing [http://www.slideshare.net/kkotowicz/attack-withhtml5owasp "HTML 5 – atak i obrona"] | ||
+ | * 17.15 TBD | ||
+ | |||
+ | Rejestracja i informacje dojazdu na stronie [http://owasppoznan.eventbrite.com owasppoznan.eventbrite.com]. Biletów nie trzeba drukować - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu itd. | ||
+ | |||
+ | ==2012== | ||
+ | ==OWASP Kraków - 5 grudnia 2012== | ||
+ | Grudniowe spotkanie OWASP Poland odbędzie się w Krakowskim Parku Technologicznym: | ||
+ | |||
+ | * OWASP News | ||
+ | * Robert Pająk, CSO Interia.pl - "Bezpieczeństwo aplikacji - jak to u nas działa?" | ||
+ | * Piotr Bucki, J-Labs - "Frameworki J2EE vs cross-site scripting" | ||
+ | |||
+ | Szczegóły dojazdu i rejestracja na stronie [http://www.eventbrite.com/event/4898723213 EventBrite]. "Biletów" nie trzeba drukować - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu itd. | ||
+ | |||
+ | ==Spotkanie OWASP Kraków - 26 września 2012== | ||
+ | Wrześniowe spotkanie OWASP Poland odbędzie się tradycyjnie w Krakowskim Parku Technologicznym (Aleja Jana Pawła II 41L 31-000 Kraków). Program spotkania: | ||
+ | * OWASP News | ||
+ | * Piotr Linke (Sourcefire) - wykrywnie i blokowanie włamań do aplikacji webowych | ||
+ | * Paweł Krawczyk - [http://prezi.com/zdgdj0rdn6ob/owasp-password-recommendations/ Password best practices] (also see [https://www.owasp.org/images/7/78/PSM_-_Problem_Definition.pdf Securing Password Storage], Cigital 2012) | ||
+ | |||
+ | Rejestracja: http://www.eventbrite.com/event/4383557338 [https://plus.google.com/events/cn6ordsi1nca2144b3pjlgkjv9s G+] [https://www.facebook.com/events/366953773383612/ FB] [http://linkd.in/S4aD1l LinkedIn] | ||
+ | |||
+ | ==Spotkanie OWASP Warszawa - 9 października 2012== | ||
+ | Miejsce spotkania: Ernst & Young, Rondo ONZ 1, Warszawa, Sala: 14-40 (pietro 14), 18:00-20:00 | ||
+ | |||
+ | Prosba o potwierdzenie uczestnictwa do: [email protected] lub na http://www.eventbrite.com/event/3089399477 | ||
+ | |||
+ | Agenda: | ||
+ | * 18:00 - 18:15 - Otwarcie spotkania, aktualnosci OWASP Polska | ||
+ | * 18:15 - 19:00 - [[Media:Presentation Mariusz Burdach.pdf |''Bankowosc mobilna - analiza ryzyka na przykladzie telefonow iPhone'']] | ||
+ | ** Czy bankowosc mobilna jest bezpieczna? Jakie sa glowne zagrozenia dla przecietnego uzytkownika? Pokazemy tez, jak sprawdzic, czy aplikacja mobilna jest dobrze napisana. Podczas spotkania omowimy i zweryfikujemy na zywo kluczowe mechanizmy bezpieczenstwa. | ||
+ | **Prowadzacy: Mariusz Burdach, Prevenity | ||
+ | * 19:00 - 19:45 - [[Media:Jakub Botwicz - Prezentacja OWASP - 2012-10-09.pdf |''Zapewnienie bezpieczenstwa w calym cyklu zycia aplikacji - czyli dlaczego lepiej zapobiegac chorobom, niz leczyc je w zaawansowanym stadium'']] | ||
+ | ** Obecnie powszechne jest testowanie penetracyjne aplikacji przed wdrozeniem w srodowisku produkcyjnym korzystajac z uslug firm zewnetrznych. Pozwala to wykryc istotne z punktu widzenia bezpieczenstwa bledy i zweryfikowac poprawnosc calego procesu tworzenia aplikacji lub wprowadzania w niej zmian. Co bedzie, jesli powazne bledy zostana znalezione na tym etapie? Ile kosztuje ich naprawienie i czy tych kosztow mozna byloby uniknac? W trakcie prezentacji opowiem o praktykach, ktore pozwalaja uzyskac mozliwie najwyzsza jakosc aplikacji w calym cyklu jej zycia - jednoczesnie ograniczajac koszty bledow. | ||
+ | ** Prowadzacy: Jakub Botwicz, Ernst & Young | ||
+ | * 19:45 - 20:00 - Kwestie dodatkowe, zamkniecie spotkania | ||
+ | |||
+ | ==Spotkanie OWASP Kraków - 22 maja 2012== | ||
+ | Wstępna agenda na 22 maja 2012: | ||
+ | |||
+ | * Piotr Bucki, "Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku CSRF" ([[File:Prezentacja csrf j-labs.pdf]]) | ||
+ | **Na wykładzie pokażemy na czym polega atak CSRF. Następnie pokażemy jakie zabezpieczenia (i czy w ogóle) oferują popularne WEBowe frameworki Java. | ||
+ | * Łukasz Tomaszkiewicz, "Hardening IIS" ([[File:Hardening iis.pdf]]) | ||
+ | **Patchowanie systemów (+ Baseline Security Analyzer) | ||
+ | **Web Application Security Analyzer | ||
+ | **Usunięcie niepotrzebnych komponentów IIS | ||
+ | **Bezpieczeństwo adresów (długie URLe i query stringi, UTF w URLach, double-encoded requests) | ||
+ | **Ukrywanie banerów i stron błędów | ||
+ | **URLScan | ||
+ | **Konta Application Pool | ||
+ | **Bezpieczeństwo systemu plików | ||
+ | **Limitowanie ilości połączeń (anty-DoS) | ||
+ | **Wymuszanie mocnego szyfrowania SSL + ustawianie zaufanych certyfikatów dla usług działających w oparciu o IIS | ||
+ | * w trakcie ustalania | ||
+ | |||
+ | Lokalizacja i mapka [http://owasp-poland.eventbrite.com/?ref=elink na stronie Eventbrite]. Prosimy o rejestrację (pobranie darmowych "biletów") żebyśmy wiedzieli ile osób się mniej więcej spodziewać. Spotkanie koordynuje Paweł Krawczyk (+48-602-776959). | ||
+ | |||
+ | ===Streaming=== | ||
+ | Dla tych, którzy nie będą mogli uczestniczyć osobiście, postaramy się | ||
+ | udostępnić streaming za pomocą GoToMeeting (Meeting ID: | ||
+ | 464-904-886). | ||
+ | https://www3.gotomeeting.com/join/464904886 | ||
+ | |||
+ | Uwaga: Wymagana instalacja oprogramowania GoToMeeting. Ilość | ||
+ | uczestników on-line jest ograniczona (25 połączeń). | ||
+ | Start - godzina 18:00. | ||
+ | |||
+ | ==CONFidence 2012== | ||
+ | |||
+ | ===PL=== | ||
+ | |||
+ | CONFidence nabiera rozpędu, więc przygotujcie się na dwa dni ekstremalnie zapełnione wykładami i atrakcjami! Tego jeszcze nie było! Prezentacje podzielone na cztery grupy tematyczne (2 ścieżki na dzień), ponad 30 prelegentów, nowinki z branży, warsztaty oraz gra szpiegowska X-traction Point, która zaskoczy wszystkich! | ||
+ | |||
+ | Wtępnie agenda zawiera wydzielone cztery ścieżki tematyczne: | ||
+ | |||
+ | - '''WebSec''', bezpieczeństwo aplikacji webowych, | ||
+ | |||
+ | - '''Cross- Layer''', protokoły komunikacyjne, Serwery, Aplikacje, | ||
+ | |||
+ | - '''AppSec''', bezpieczeństwo i dziury w aplikacjach, | ||
+ | |||
+ | - '''Pwnage''', omijanie zabezpieczeń. | ||
+ | |||
+ | |||
+ | Prelegenci, którzy wystąpią na konferencji to m.in. : John “Captain Crunch” Draper, Gregor Kopf, Ashar Javed, Alexey Sintsov, Luiz Eduardo, Luiz Eduardo, Zane Lackey, Raoul Chiesa i wielu innych. | ||
+ | |||
+ | Szczegóły dotyczące agendy znajdują się na stronie: [http://2012.confidence.org.pl/agenda] | ||
+ | |||
+ | Jak zawsze na konferencji pojawią się panele dyskusyjne prowadzone przez światowej klasy specjalistów, m.in. panel „Bezpieczna aplikacja webowa - czy to możliwe?” prowadzony przez Mario Heiderich oraz Garetha Hayes. | ||
+ | |||
+ | Uruchomiliśmy również warsztaty, które odbywać się będą przed, jak i po konferencji. Dla zainteresowanych, jako pierwsze w kolejności proponujemy warsztaty organizowane przez Compendium. Zakończ CONFidence 2012 z oficjalnym certyfikatem ISECOM w pakiecie z egzaminem wieńczącym szkolenia. | ||
+ | |||
+ | Ciekawym dodatkiem do głównych prezentacji będą również prezentacje w ramach Lightning Talks. Krótkie 5-minutowe wystąpienia uczestników konferencji podczas przerw między wykładami docelowymi. Tematy zahaczają zarówno ciekawe projekty, wyniki badań, intrygujące hobby czy dowolne wątki, które Waszym zdaniem mogą zainteresować publiczność. Każdy uczestnik ma możliwość zgłoszenia swojego tematu w ramach wolnych miejsc. | ||
+ | |||
+ | Elementem całkowicie innowacyjnym i kreatywnym będzie zabawa pod nazwą X-traction Point, które debiutuje na tegorocznym CONFidence. Uczestnicy będą mogli sprawdzić swoje umiejętności z zakresu lockpickingu, wiedzy o alarmach, detektorach ruchu i dźwięku oraz podstawowej wiedzy hackowania. A to wszystko podczas zadania infiltracji bunkra i uratowania zakładnika! Wszystko na żywo i z poglądem z kamer. Zapowiada się niezapomniany turniej! | ||
+ | |||
+ | To i wiele wiele innych atrakcji już 23- 24 maja w Krakowie! CONFidence 2012 - bądź przygotowany na prawdziwe wyzwania! | ||
+ | |||
+ | Kod rabatowy dla osób rejestrujących się via OWASP: 2012-owasp | ||
+ | 15% zniżki na opłatę konferencyjną. | ||
+ | |||
+ | ===ENG=== | ||
+ | CONFidence gaining momentum, so get ready for two days filled with lectures and extreme attractions! The presentations will be divided into four theme groups (2 each day) with more than 30 speakers, unpublished materials, workshops and a special X-traction point game, which is something you haven't seen before! | ||
+ | |||
+ | Schedule template contains four separate thematic tracks: | ||
+ | -'''WebSec''' – Web application Security | ||
+ | |||
+ | -'''Cross-Layer''' – Communication protocols, Servers, Applications, Misc | ||
+ | |||
+ | -'''AppSec''' – Security and Application Flaws | ||
+ | |||
+ | -'''Pwnage''' – Bypassing the security systems, hacking technologies | ||
+ | |||
+ | Some of the speakers at the conference include John "Captain Crunch" Draper, Gregor Kopf, Ashar Javed, Alexey Sintsov, Eduardo Luiz, Luiz Eduardo, Zane Lackey, Raoul Chiesa and many more. | ||
+ | |||
+ | |||
+ | Details of the schedule can be found at: [http://2012.confidence.org.pl/agenda] | ||
+ | |||
+ | As always at the conference there will be discussion panels led by world-class experts, including, "Secure Web application - is it possible?" panel led by Mario Heiderich and Gareth Hayes. | ||
+ | |||
+ | There will also be additional workshops before and/or after the conference, inlucing a special workshop prepared by Compendium, where you can prepare for and obtaining an ISECOM certificate. | ||
+ | |||
+ | Apart from the normal presentations, there will be special Ligtning Talks track spread over two days. Attendees will be able to perform short, 5 minutes long presentations, covering all range of topics ranging from their projects, research results to even some specific hobbies. Every conference attendee has a possibility to submit a topic for as long as there are free slots for the talks. | ||
+ | |||
+ | For the very first time, we will deploy an X-traction Point contest, where attendees will be given a possibility to test their skills in lockpicking, knowledge about alarm systems, motion and sound detectors along with basic hacking skills. They will have to use their knowledge in a live bunker infiltration, get behind the security systems, pass the guards and save a prisoner. All that live streamed for the audience. This will be spectacular! | ||
+ | |||
+ | Prepare for all that during the CONFidence 2012, which will be held in Krakow on 23-24th of May. | ||
+ | |||
+ | 15% discount, when registering via OWASP, use this code during registration: 2012-owasp | ||
+ | |||
+ | [http://2012.confidence.org.pl/?utm_source=owasp&utm_medium=banner&utm_campaign=mediapartners Więcej na stronie konferencji.] | ||
+ | |||
+ | ==KrakYourNet== | ||
+ | |||
+ | W ramach tegorocznej edycji KrakYourNet (14 - 21.04) an AGH w Krakowie Wojciech Dworakowski zaprezentował dokumenty i narzędzia rozwijane w ramach działalności OWASP. Prezentację można pobrać [[Media:Bezpieczeństwo_aplikacji_webowych_-_standardy,_przewodniki_i_narzędzia_OWASP_-_KrakYourNet_-_20120419.pdf| tutaj.]] | ||
+ | |||
+ | Więcej informacji na temat wykładu [http://www.krakyournet.pl/index/event/4 tutaj]. | ||
+ | |||
+ | == 21. March 2012== | ||
+ | Zapraszamy wszystkich zainteresowanych na spotkanie OWASP Poland Local Chapter, poświęcone tematyce bezpieczeństwa aplikacji webowych. | ||
+ | ===Czas=== | ||
+ | 21 marca 2012, 18.00 - 20.00 | ||
+ | |||
+ | ===Miejsce=== | ||
+ | [http://www.kpt.krakow.pl Krakowski Park Techniologiczny] (Al. Jana Pawła II 41 L), sala konferencyjna na III piętrze. | ||
+ | |||
+ | Lokalizacja na [http://maps.google.pl/maps?vpsrc=6&ie=UTF8&ll=50.078137,19.994615&spn=0.005749,0.013937&t=w&z=17&iwloc=A&q=Krakowski+Park+Technologiczny+Sp.+z+o.o.&cid=4800256453671308201 mapie]. Dojazd liniami: 4, 10, 15,40 - przystanek "AWF". | ||
+ | |||
+ | Wstęp wolny. Prosimy o [http://owasp-poland-2012-03-21.eventbrite.com/lista potwierdzenie uczestnictwa.] | ||
+ | |||
+ | ===Streaming=== | ||
+ | Tak jak poprzednim razem będzie możliwość zdalnego uczestnictwa za pomocą GoToMeeting (Meeting ID: 759-783-526): [https://www3.gotomeeting.com/join/759783526 link] | ||
+ | |||
+ | Uwaga: Wymagana instalacja oprogramowania GoToMeeting. Ilość uczestników on-line jest ograniczona (25 połączeń). | ||
+ | |||
+ | ===Agenda=== | ||
+ | |||
+ | |||
+ | ====Analiza statyczna języka PHP==== | ||
+ | Mateusz Kocielski, LogicalTrust <br> | ||
+ | 18.00 - 19.15 | ||
+ | |||
+ | ''Abstrakt:'' | ||
+ | |||
+ | Analiza statyczna jest jedną z metod wyszukiwania błędów oraz poprawiania jakości oprogramowania. <br> | ||
+ | Zaczynając od historii i podstaw teoretycznych, a kończąc na praktycznych aspektach i zero dayach, <br> | ||
+ | dowiemy się jak wykorzystać wszystkie jej dobrodziejstwa na przykładzie języka php. <br> | ||
+ | Wykład przeznaczony jest dla wszystkich, którzy mają jakikolwiek związek z wytwarzania oprogramowania.<br> | ||
+ | |||
+ | * 19.15 - 19.30 Przerwa / networking | ||
+ | |||
+ | |||
+ | ====Web Application Firewall 101==== | ||
+ | Przemysław Skowron<br> | ||
+ | 19.30 - 20.00 | ||
+ | |||
+ | ''Abstrakt'': | ||
+ | |||
+ | Web Application Firewall to kolejna (czasem jedyna!) warstwa <br> | ||
+ | bezpieczeństwa w środowisku pracy aplikacji webowych. Pozwala na <br> | ||
+ | monitoring i ochronę aplikacji. Może służyć jako "Strażak" w czasie<br> | ||
+ | pożaru i często stosowany jest tylko do tego. W "kwadrans" postaram <br> | ||
+ | się przybliżyć: czym jest WAF, w jakich architekturach możemy go<br> | ||
+ | wdrożyć, jakie mamy WAFy na rynku, jak wybrać ten najlepszy dla nas, w<br> | ||
+ | jakich trybach działa, w oparciu o co może reagować, jak się ma WAF do<br> | ||
+ | OWASP Top10 i czym jest OWASP CRS. | ||
+ | |||
+ | ===Meeting Supporter=== | ||
+ | Sponsorem spotkania jest firma [[Image:Logicaltrust-logo.png| link=http://logicaltrust.net]]. | ||
+ | |||
+ | |||
+ | |||
+ | ==SEMAFOR 2012== | ||
+ | |||
+ | We have the pleasure to inform You that on February 23-24, 2012, the SEMAFOR (Security, Management, Audit Forum) conference will take place in Warsaw. The conference is held by ISSA Poland, ISACA Warsaw Chapter and the Computerworld with active support of OWASP Poland. OWASP members have 10% of discount for this event. | ||
+ | |||
+ | For more information about SEMAFOR 2012, please visit: https://issa.org.pl/semafor-2012.html | ||
+ | |||
+ | |||
+ | ==18. January 2012== | ||
+ | |||
+ | We're meeting in Krakow on 18. January 2012 in [http://www.kpt.krakow.pl/en Krakow Technology Park (Czyżyny)] (Al. Jana Pawła II 41 L) at '''6pm''', conference hall on 3rd floor. This meeting is organized jointly by ISSA Poland. Please confirm Your attendance [http://www.eventbrite.com/event/2726383687 here.] | ||
+ | |||
+ | ===Agenda:=== | ||
+ | * OWASP news. | ||
+ | * [http://prezi.com/awm8psp-i1ok/no-mans-land/ No Man's Land - Vulnerabilities in J2EE frameworks and libraries] - Sławomir Jasek, SecuRing. | ||
+ | * [[Media:Defending ASP.Net Apps against XSS.pdf| Defending ASP.Net apps against XSS.]] - Mateusz Olejarka, VSoft S.A. | ||
+ | * [http://prezi.com/zn6ixh6n4obl/bad-coding-with-ruby-on-rails/ Bad coding with Ruby on Rails] - Paweł Krawczyk, AON. | ||
+ | |||
+ | ===Streszczenia:=== | ||
+ | |||
+ | |||
+ | ====Ziemia niczyja - czyli podatności we frameworkach i bibliotekach J2EE.==== | ||
+ | Sławomir Jasek (SecuRing) | ||
+ | |||
+ | |||
+ | Podatności obecne w aplikacjach mogą wynikać z błędów popełnionych | ||
+ | przez programistów, ale także ze słabości istniejących w zastosowanych | ||
+ | frameworkach i bibliotekach. | ||
+ | |||
+ | Z mojego doświadczenia wynika, że ten | ||
+ | drugi aspekt jest często pomijany przy projektowaniu bezpieczeństwa | ||
+ | aplikacji a także w trakcie utrzymania aplikacji | ||
+ | (uaktualniane jest | ||
+ | oprogramowanie serwerowe ale nie biblioteki wchodzące w skład | ||
+ | aplikacji). | ||
+ | |||
+ | Prezentacja ma na celu naświetlenie tego problemu przez pokazanie | ||
+ | przykładów ciekawych, | ||
+ | a jednocześnie łatwych do przeoczenia | ||
+ | podatności, występujących w popularnych bibliotekach/frameworkach J2EE | ||
+ | takich jak Struts, Spring MVC. | ||
+ | |||
+ | ====Obrona aplikacji webowej ASP.Net: XSS==== | ||
+ | '''Mateusz Olejarka (VSoft)''' | ||
+ | |||
+ | Prezentacja ma celu zarysować dość szeroką tematykę zwiazaną z XSS'em. Na początku pojawi się kilka pojęć i faktów dotyczących XSS, | ||
+ | w głównej części omówimy | ||
+ | |||
+ | sobie możliwości jakie mamy, aby zabezpieczyć naszą aplikację, m.in: mechanizm Request Validation, HttpUtility, AntiXSS. | ||
+ | |||
+ | ====Popularne błędy w aplikacjach Ruby on Rails==== | ||
+ | Paweł Krawczyk (IPSec.pl) | ||
+ | |||
+ | |||
+ | Ruby on Rails uchodzi za framework ułatwiający pisanie bezpiecznych | ||
+ | aplikacji - i takim jest w istocie. | ||
+ | |||
+ | Nie znaczy to jednak, że samo RoR | ||
+ | w magiczny sposób naprawi dziury wynikające z braku dbałości o | ||
+ | bezpieczeństwo. | ||
+ | |||
+ | W prezentacji pokażę typowe błędy popełniane przez | ||
+ | programistów RoR oraz narzędzia, które umożliwiają wyłapanie | ||
+ | większości z nich w półautomatyczny sposób. | ||
+ | |||
+ | ==2011== | ||
+ | |||
+ | ==15. December 2011== | ||
+ | Zaproszenie na kolejne spotkanie OWASP w Warszawie / Invitation for | ||
+ | the next OWASP meeting in Warsaw<br /> | ||
+ | |||
+ | Tym razem prezentacje beda w języku angielskim / This time the | ||
+ | presentations will be in English<br /> | ||
+ | |||
+ | |||
+ | Data i miejsce spotkania / Date and place of the meeting:<br /> | ||
+ | |||
+ | 15 grudzien 2011 / 15 December 2011 | ||
+ | Ernst & Young | ||
+ | Rondo ONZ 1, Warszawa | ||
+ | Sala: 14-40 (piętro 14) | ||
+ | 18:00-20:00 | ||
+ | |||
+ | <br /> | ||
+ | Prosba o potwierdzenie uczestnictwa do: [email protected] / | ||
+ | Please confirm your attendance to: [email protected]<br /><br /> | ||
+ | |||
+ | '''Agenda''': | ||
+ | |||
+ | * 18:00 - 18:15 - Otwarcie spotkania, aktualnosci OWASP Polska / Meeting Opening, OWASP Poland News | ||
+ | * 18:15 - 19:00 - [http://www.slideshare.net/bezpiecznik/1112-agile-approach-to-pci-dss-development-10600190 "The agile approach to PCI DSS implementation in SDLC area"] - Jakub Syta, IMMUSEC | ||
+ | * 19:00 - 19:45 - [http://blog.c22.cc/2011/11/18/deepsec-ground-beef-cutting-devouring-and-digesting-the-legs-off-a-browser/ "Ground BeEF: Cutting, devouring and digesting the legs off a browser"] - Michele Orru' a.k.a. antisnatchor, Royal Bank of Scotland | ||
+ | * 19:45 - 20:00 - Kwestie dodatkowe, zamkniecie spotkania / Additional Topics, Meeting Closure | ||
+ | <br /> | ||
+ | |||
+ | Więcej informacji o prelegentach / More information about the presenters: | ||
+ | <br /><br /> | ||
+ | '''Jakub Syta''', IMMUSEC | ||
+ | <br /><br /> | ||
+ | Ekspert w zarzadzaniu bezpieczenstwem informacji i ciagloscia | ||
+ | dzialania, zdobyl doswiadczenie w szeregu zagadnien z zakresu ochrony | ||
+ | fizycznej oraz przeciwdzialania naduzyciom. Ostatnie lata spedzil | ||
+ | kierujac dzialem bezpieczenstwa w jednym z najwiekszych swiatowych | ||
+ | bankow bedac odpowiedzialnym za dostarczanie uslug bezpieczenstwa dla | ||
+ | kilku krajow. Od 2010 jest wspolnikiem w spolce doradczej IMMUSEC. | ||
+ | Prelegent na krajowych i miedzynarodowych konferencjach, doswiadczony | ||
+ | wykladowca. Ekspert w Podkomitecie ds. ISMS przy KT 182 w Polskim | ||
+ | Komitecie Normalizacyjnym, byly czlonek zarzadu ISACA Polska, | ||
+ | doktorant na Wydziale Zarzadzania Politechniki Warszawskiej. Jest | ||
+ | audytorem wiodacym ISO 27001 i ISO 9001, legitymuje sie certyfikatami | ||
+ | takimi jak CISA, CISSP, CRICS, ITIL Foundation. | ||
+ | <br /> | ||
+ | |||
+ | '''Michele Orru'''', Royal Bank of Scotland | ||
+ | <br /> | ||
+ | Michele Orru' a.k.a. antisnatchor is an IT and ITalian security guy | ||
+ | who works as a Penetration Tester for The Royal Bank of Scotland Group | ||
+ | in Warsaw, Poland. He mainly focus his research on web application | ||
+ | security. Besides his nasty passion about black, gray, white hat | ||
+ | hacking and BeEF (being an active committer since the Ruby port | ||
+ | started), he enjoys to leave alone his Mac while fishing on salted | ||
+ | water and preys for Kubrick resurrection.<br /> | ||
+ | |||
+ | ==23. November 2011 - Cracow== | ||
+ | We're meeting in Krakow on 23. November 2011 in [http://www.kpt.krakow.pl/en Krakow Technology Park (Czyżyny)] (Al. Jana Pawła II 41 L) at '''6pm''', conference hall on 3rd floor. This meeting is organized jointly by ISSA Poland. | ||
+ | |||
+ | Agenda: | ||
+ | * [[Media:OWASP News 20111123.pdf| OWASP News]] | ||
+ | * [http://www.securitum.pl/dh/owasp_krakow_112011.pdf Selected vulnerabilities in web management consoles of network devices] - Michał Sajdak, Securitum | ||
+ | * [[Media:OWASP_ESAPI_and_AppSensor_-_intro.pdf |Groundbreaking OWASP tools for developers. Brief introduction to OWASP ESAPI and AppSensor]]- Wojciech Dworakowski, SecuRing | ||
+ | * [http://prezi.com/zeuz-3td6iqe/couchdb-security/ CouchDB security] - Paweł Krawczyk | ||
+ | |||
+ | <br /> | ||
+ | Meeting supporter for this event is [[Image:Securitum.gif| http://www.securitum.pl ]], which will provide delicious cupcakes and coffee :). | ||
+ | |||
+ | |||
+ | ==3 rd SASMA & LIQUIDNEXXUS Business Security Conference== | ||
+ | On 17. November 2011- Warsaw during 3 rd SASMA & LIQUIDNEXXUS Business Security Conference Mateusz Olejarka will be speaking about Application Security Threats and OWASP TOP 10. | ||
+ | |||
+ | More details [http://www.sas-ma.org/pl_3-rd-sasma-liquidnexxus-business-security-conference,263.html here.] <br /> | ||
+ | |||
+ | ==OWASP & ISACA Katowice Chapter-in-formation== | ||
+ | |||
+ | On 20. October in Cracow University of Economics during ISACA Katowice Chapter-in-formation meeting Wojciech Dworakowski will be speaking about OWASP and Web Application Security. <br> | ||
+ | More information: http://isaca.katowice.pl/spotkania.html | ||
+ | |||
+ | ==OWASP Poland Partnership during Secure 2011== | ||
+ | |||
+ | Secure 2011 is international conference on telecommunications and IT security organized by CERT Poland on 24-26 October 2011 in Warsaw. | ||
+ | |||
+ | More information: http://secure.edu.pl/ | ||
+ | |||
+ | ===27. September 2011 - Warsaw=== | ||
+ | We're meeting in Warsaw on 27. September 2011 in Ernst & Young (Rondo ONZ 1, Warszawa, room 14-40, floor 14). Please confirm your attendance by sending email to [email protected] as amount of places is limited. Agenda: | ||
+ | |||
+ | * 18:00 - 18:15 - Otwarcie spotkania, aktualności OWASP Polska | ||
+ | |||
+ | * 18:15 - 19:00 - '''"Bezpieczeństwo aplikacji mobilnych"''' - Aleksander Ludynia, Ernst & Young<blockquote>Aleksander jest Konsultantem w Dziale Zarządzania Ryzykiem Informatycznym w Ernst & Young odpowiedzialnym za realizację projektów związanych z bezpieczeństwem systemów informatycznych. Specjalizuje się w testach penetracyjnych aplikacji internetowych oraz przeglądach bezpieczeństwa.<br />Abstrakt: Skala i charakter wykorzystania aplikacji mobilnych zmieniają się w bardzo dynamicznym tempie. Równolegle rozwija się działalność przestępców komputerowych, prowadzących różnego rodzaju ataki, których celem są urządzenia przenośne. Podczas prezentacji zostanie omówiona sytuacja na rynku aplikacji mobilnych, a także zagrożenia związane z ich wykorzystaniem. Ponadto, omówione zostaną podstawowe techniki wykorzystywane podczas testów penetracyjnych tego typu aplikacji. Prezentacja będzie wstępem do szerszej dyskusji dotyczącej zagadnieńzwiązanych z bezpieczeństwem aplikacji mobilnych.</blockquote> | ||
+ | |||
+ | * 19:00 - 19:45 - '''"Zarządzanie sesją w aplikacjach internetowych"''' - Sławomir Rozbicki, PKO BP<blockquote>Sławek jest specjalistą w zespole Bezpieczeństwa Internetowego i Telekomunikacyjnego Banku PKO BP. Do jego obowiązków należy głównie wykonywanie testów penetracyjnych aplikacji internetowych, infrastruktury teleinformatycznej oraz bieżący monitoring incydentów bezpieczeństwa.<br />Abstrakt: Mechanizmy zarządzania sesją aplikacji internetowych mają znaczący wpływ na ich bezpieczeństwo. Pomimo to niedocenianie ryzyka związanego z ich nieprawidłową implementacją wydaje się być częstą praktyką. Zawarte w prezentacji materiały mają za zadanie zwrócić uwagę na podstawowe wektory ataku oraz ułatwić ocenę podatności poszczególnych elementów sesji na ataki. Przedstawione przykłady pokazują jak nawet najsilniejsze mechanizmy uwierzytelnienia mogą zostać ominięte, w przypadku wykorzystania słabości związanych z nieprawidłową obsługą sesji.</blockquote> | ||
+ | |||
+ | * 19:45 - 20:00 - Kwestie dodatkowe, zamknięcie spotkania | ||
+ | |||
+ | * '''Download :''' | ||
+ | ** [[Media:OWASP_News_20110927.pdf | OWASP News]] | ||
+ | ** [[Media:OWASP 2011 - Aleksander Ludynia - Bezpieczenstwo aplikacji mobilnych.pdf | Aleksander Ludynia - Bezpieczenstwo aplikacji mobilnych]] | ||
+ | ** [[Media:OWASP 2011 - Slawomir Rozbicki - Session Managemnt.pdf | Slawomir Rozbicki - Session Management]] | ||
+ | |||
+ | ===14. September 2011 - Krakow=== | ||
+ | We're meeting in Krakow on 14. September 2011 in [http://www.kpt.krakow.pl/en Krakow Technology Park (Czyżyny)] (Al. Jana Pawła II 41 L) at '''6pm''', conference hall on 3rd floor. Note '''date change to 14. September''' (previously announced date was 13. September). | ||
+ | |||
+ | Google Maps [http://maps.google.pl/maps?daddr=50.078184,19.994881&hl=pl&sll=50.078171,19.994903&sspn=0.005735,0.013937&vpsrc=0&gl=pl&mra=mift&mrsp=1&sz=17&t=h&z=17 link]. | ||
+ | |||
+ | Agenda: | ||
+ | |||
+ | *OWASP news | ||
+ | *'''Uczący się firewall webowy''' - nowy polski projekt (Marek Zachara, AGH). Streszczenie: | ||
+ | <blockquote> | ||
+ | Inteligentne systemy, analizujące i dopasowujące się do wzorców zachowań użytkowników zdobywają kolejne pola zastosowań. W trakcie wykładu zostanie zaprezentowane wykorzystanie takich metod do tworzenia samo-uczącego się firewalla aplikacyjnego (ang. Learning Web Application Firewall). LWAF potrafi (na podstawie analizy ruchu) stworzyć oczekiwane wzorce przychodzących danych - a co za tym idzie, zidentyfikować nietypowe zachowania użytkowników - i ochronić w ten sposób aplikację przed próbami ataku. Wyniki działania takiego firewall-a, a także podstawowa analiza teoretyczna zostanie zaprezentowana na bazie przygotowanej przez autorów implementacji tej techniki w formie modułu do serwera Apache.</blockquote> | ||
+ | Download paper: [http://marek.zachara.name/marek/publ/2011_ares.pdf Learning Web Application Firewall - Benefits and Caveats], slides: [[File:LWAF.pptx]] | ||
+ | <blockquote> | ||
+ | Intelligent systems that process and analyze patterns in human behavior have been gaining traction in various fields of use. During the lecture, we will present a Learning Application Firewall (LWAF) which utilizes such methods to analyze the traffic patterns, constructs expected data patterns and can protect the application from harmful attack attempts. Resluts from experiments, as well as theoretical background will be presented based on the reference implementation of the LWAF as Apache module, prepared by the authors</blockquote> | ||
+ | |||
+ | *'''HTML5 - Something wicked this way comes''' ([http://blog.kotowicz.net/ Krzysztof Kotowicz], SecuRing) Streszczenie: | ||
+ | <blockquote>HTML5 to ulubieniec współczesnych przeglądarek i webdeveloperów, ale może zostać również wykorzystany w złych celach. | ||
+ | Przedstawimy najnowsze metody ataków na aplikacje internetowe z wykorzystaniem HTML5 oraz różnych technik UI redressing, a także sposoby ukrycia ataku w mechanizmach gry online. Zobaczycie demonstracje rzeczywistych ataków na popularne serwisy internetowe z wykorzystaniem opisanych metod.</blockquote> Download: [[File:Html5-something wicked this way comes owasp.pdf]] | ||
+ | |||
+ | <blockquote> | ||
+ | HTML5 is a favorite of modern browsers and web developers. Likewise, it can used for evil purposes. We will cover new attacks on web applications, which use HTML5 and UI redressing techniques and ways to cover it up in an online game logic. We shall see the demos of real attacks on popular web sites which includes described methods.</blockquote> | ||
+ | |||
+ | Generally - all lectures are in Polish. If you would like to attend and do not know Polish, please contact meeting coordinator. | ||
+ | |||
+ | This meeting is organized jointly by ISSA Poland. Questions or issues? Contact meeting coordinator Wojtek Dworakowski +48-506-184550. | ||
+ | |||
+ | If you would like to make a presentation, or have any questions about the Poland Chapter, send an email to Chapter Leader or any Chapter Board member. | ||
+ | |||
+ | ===30. June 2011 - Warsaw, ISSA InfoTRAMS=== | ||
+ | All OWASP Poland, ISSA Poland and CISSP holders are entitled to free entry to [https://issa.org.pl/infotrams/fusion-tematyczny-bazy-danych-kariera-warszawa.html InfoTRAMS] conference that will be held at TPSA conference venue Twarda street 18 in Warsaw. | ||
+ | |||
+ | ===23. May 2011 - Krakow=== | ||
+ | 23. May 2011 in [http://www.kpt.krakow.pl/en Krakow Technology Park (Czyżyny)] at 6pm, conference hall on 3rd floor. | ||
+ | |||
+ | Two research topics were presented (both in '''Polish'''): | ||
+ | |||
+ | *OWASP news, KPT introduction | ||
+ | *Minerva - automatic vulnerability scanning (Mateusz Kocielski) | ||
+ | *[http://www.slideshare.net/kravietz/why-care-about-application-security Why care about application security?] (Paweł Krawczyk) | ||
+ | |||
+ | ===OWASP Partnership during CONFidence 2011=== | ||
+ | CONFidence is an annual IT security conference that will take place on 24-25th May, 2011 in Krakow, Poland for the 9th time! | ||
+ | |||
+ | More information: http://2011.confidence.org.pl/ | ||
+ | |||
+ | ===OWASP Partnership during Banking Forum 11-12th May 2011=== | ||
+ | Banking Forum is a major event organized for managers of polish financial institutions. | ||
+ | |||
+ | OWASP Poland Chapter was Partnership of this event and our representatives took part in panel discussions about security of financial applications and security in software development lifecycle. | ||
+ | |||
+ | ===On 24th March 2011 - Krakow=== | ||
+ | 6:15pm - 6:30pm ... "OWASP News" - Przemyslaw Skowron, OWASP Leader<br> | ||
+ | 6:30pm - 7:00pm ... "Source Code Scanners" - Pawel Krawczyk http://www.slideshare.net/kravietz/source-code-scanners<br> | ||
+ | 7:00pm - 8:00pm ... "Penetration testing - panel discussion"<br> | ||
+ | |||
+ | ===On 27th January 2011 - Warsaw=== | ||
+ | 6:00pm - 6:40pm ... "OWASP News" - Przemyslaw Skowron, OWASP Leader<br> | ||
+ | 6:45pm - 7:20pm ... [[Media:OWASP_2011_-_Michał_Kurek_-_Cross-Site_Scripting.pdf|"Cross-Site Scripting"]] - Michal Kurek, Ernst&Young <br> | ||
+ | 7:25pm - 8:00pm ... "Phishing" - Tomasz Sawiak, Safe Computing<br> | ||
+ | |||
+ | ===On 20th January 2011 - Krakow=== | ||
+ | 6:15pm - 6:25pm ... "OWASP News" - Przemysław Skowron, OWASP Leader<br> | ||
+ | 6:30pm - 7:10pm ... "Advanced Data mining" - Jakub Kaluzny<br> | ||
+ | 7:15pm - 8:00pm ... "OWASP ASVS - panel discussion" - Wojciech Dworakowski, Securing<br> | ||
+ | |||
+ | ==2010== | ||
+ | |||
+ | ===OWASP Partnership during seminar InfoTRAMS - Privacy at work=== | ||
+ | |||
+ | 9th of December 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.<br> | ||
+ | |||
+ | More information: http://issa.org.pl/2010-12-09/prywatno%C5%9B%C4%87-w-pracy-infotrams-warszawa.html | ||
+ | |||
+ | ===OWASP Poland Partnership during Secure 2010=== | ||
+ | |||
+ | 25-27th of October 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.<br> | ||
+ | |||
+ | [[Image:Secure2010.jpg |center |Secure 2010]] | ||
+ | |||
+ | More information: http://secure.edu.pl/ | ||
+ | |||
+ | ===OWASP Partnership during seminar InfoTRAMS - Cloud computing=== | ||
+ | |||
+ | 30th of June 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.<br> | ||
+ | |||
+ | More information: http://www.issa.org.pl/content/view/129/1/ | ||
+ | |||
+ | ===On 10th June 2010=== | ||
+ | 6:00pm - 6:15pm ... "OWASP News" - Przemyslaw Skowron /PL/ - [[Media:OWASP_20100610_PSkowron_OWASP_News.pdf | Slides]]<br> | ||
+ | 6:15pm - 7:10pm ... "Creating, obfuscating and analysis of JavaScript-based malware." - Krzysztof Kotowicz /PL/ - [[Media:OWASP_20100610_KKotowicz_Analysis_of_Javascript-based_malware.pdf | Slides]] | [http://www.varlog.pl/2010/06/czerwcowe-spotkanie-owasp-video/ Video]<br> | ||
+ | 7:15pm - 8:00pm ... "Network Forensic: what captured packets say" - Paweł Goleń /PL/ - [[Media:OWASP_20100610_PGolen_Network_Forensic.pdf | Slides]] | [http://www.varlog.pl/2010/06/czerwcowe-spotkanie-owasp-video/ Video]<br> | ||
+ | |||
+ | ===OWASP Partnership during KrakSpot Tech #1=== | ||
+ | |||
+ | 8th of June 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership.<br> | ||
+ | |||
+ | More information: http://krakspot.pl/2010/05/29/krakspot-tech-agenda/ | ||
+ | |||
+ | ===OWASP Partnership during CONFidence 2010=== | ||
+ | |||
+ | 25-26th of May 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership.<br> | ||
+ | |||
+ | More information: http://2010.confidence.org.pl/ | ||
+ | |||
+ | ===On 13th May 2010=== | ||
+ | 6:05pm - 7:00pm ... "Drive-by download attacks" - Filip Palian /PL/ - [[Media:OWASP_20100513_FPalian_Drive-by_download.ppt | Slides]] | [http://www.varlog.pl/2010/06/majowe-spotkanie-owasp-video/ Video]<br> | ||
+ | 7:05pm - 7:50pm ... "Detection and analysis of malicious web sites" - Łukasz Juszczyk /PL/ - [[Media:OWASP_20100513_LJuszczyk_Detection_and_analysis_malicious.pdf | Slides]] | [[Media:OWASP_20100513_LJuszczyk_m.pdf | Extra#1]] | [[Media:OWASP_20100513_LJuszczyk_jsunpack.pdf | Extra#2]] | [http://www.varlog.pl/2010/06/majowe-spotkanie-owasp-video/ Video]<br> | ||
+ | |||
+ | ===OWASP Partnership during SEConference 2010=== | ||
+ | |||
+ | 9-10th of April 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership.<br> | ||
+ | |||
+ | During meetings there will be a few talks dedicated the OWASP Projects.<br> | ||
+ | More information: http://www.2k10.seconference.pl/docs/ | ||
+ | |||
+ | ===On 17th March 2010=== | ||
+ | 6.10pm - 6.50pm ... "Workshop: CISSP - Telecommunications and Network Security" - Julia Juraszek, ISSA Polska, Polkomtel S.A.<br> | ||
+ | 7.00pm - 7.40pm ... "OWASP - Incident handling: Web Application Attacks" - Przemyslaw Skowron, OWASP Poland /PL/ - [[Media:OWASP_20100317-PSkowron-Incident_Handling.pdf | Slides]]<br> | ||
+ | |||
+ | ===On 10th March 2010=== | ||
+ | 5:00pm - 5:05pm ... "OWASP News" - Przemyslaw Skowron /PL/ - [[Media:OWASP_20100310-PSkowron-OWASP_News.ppt | Slides]]<br> | ||
+ | 5:05pm - 6:10pm ... "SQL Injection: complete walktrough (not only) for PHP developers" - Krzysztof Kotowicz /PL/ - [[Media:OWASP_20100310_KKotowicz_SQL_Injection.ppt | Slides]] | [http://www.varlog.pl/2010/03/marcowe-spotkanie-owasp-php-video/ Video]<br> | ||
+ | 6:15pm - 7:20pm ... "Secure PHP framework" - Łukasz Pilorz /PL/ - [[Media:OWASP_20100310_LPilorz_Secure_PHP_Framework.pdf | Slides]] | [http://www.varlog.pl/2010/03/marcowe-spotkanie-owasp-php-video/ Video]<br> | ||
+ | |||
+ | ===OWASP Poland Partnership during SEMAFOR 2010=== | ||
+ | |||
+ | 26-27th of January 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.<br> | ||
+ | |||
+ | [[Image:Semafor2010.jpg | SEMAFOR 2010]] | ||
+ | |||
+ | During meetings there will be a few talks dedicated the OWASP Projects.<br> | ||
+ | More information: http://konferencje.computerworld.pl/konferencje/semafor2010/zagadnienia.html | ||
+ | |||
+ | ===On 14th January 2010=== | ||
+ | 6:20pm - 6:30pm ... "OWASP News" - Przemyslaw Skowron<br> | ||
+ | 6:30pm - 7:15pm ... "Fuzzing" - Piotr Laskawiec /PL/ - [[Media:OWASP_20100114_PLaskawiec_Fuzzing.pdf | Slides]], /EN/ - [[Media:OWASP_20100114_PLaskawiec_Fuzzing-en.pdf | Slides]]<br> | ||
+ | 7:15pm - 8:00pm ... "Security in Software Development Life Cycle" - Wojtek Dworakowski /PL/ - [[Media:OWASP_20100114_WDworakowski_Security_in_SDLC.pptx | Slides]]<br> | ||
+ | |||
+ | ==2009== | ||
+ | |||
+ | ===On 10th December 2009=== | ||
+ | 6:30pm - 6:45pm ... "OWASP News" - Andrzej Targosz, Przemyslaw Skowron<br> | ||
+ | 6:50pm - 7:25pm ... "OWASP Top 10 2010" - Przemyslaw Skowron /PL/ - [http://www.slideshare.net/thinksecure/owasp-top10-2010-rc1-pl OWASP_Top10_2010-RC1-PL] by Michał Wiczyński<br> | ||
+ | 7:30pm - 8:10pm ... "Real Life Information Security" - Pawel Krawczyk /EN/ - [[Media:OWASP_20091217_PKrawczyk_Real_World_Security.ppt | Slides]]<br> | ||
+ | |||
+ | ===On 12th February 2009=== | ||
+ | 6:00pm - 6:30pm ... "OWASP News" - Andrzej Targosz<br> | ||
+ | 6:30pm - 7:30pm ... "Blind SQL Injections" - Jacek Wlodarczyk /PL/ - [[Media:OWASP_20090212_JW_Blind_SQLi.ppt | Slides]]<br> | ||
+ | 7:30pm - 9:30pm ... OWASP UNConference<br> | ||
+ | |||
+ | ==2008== | ||
+ | |||
+ | ===On 11th December 2008=== | ||
+ | 6:00pm - 7:00pm ... "Hack tool Firefox" - Filip Palian<br> | ||
+ | 7:00pm - 8:15pm ... "OWASP where we were, where we are now, and where we are going..." - Andrzej Targosz<br> | ||
+ | |||
+ | ===On 23th October 2008=== | ||
+ | 6:15pm - 7:10pm ... "Wargame @ Confidence/OWASP EU 2008 vs. OWASP Testing Guide" - Przemysław Skowron /PL/ - [[Media:OWASP_20081023-prezentacja.pdf | Slides]] , [[Media:OWASP_20081023-mind_mapa.pdf | MindMap]]<br> | ||
+ | 7:15pm - 8:10pm ... "Intrusion detection for web applications" - Łukasz Pilorz /EN/ - [[Media:OWASP_WebIDS_pub.pdf | Slides]]<br> | ||
+ | 8:15pm - 9:10pm ... "Session management for Web Application" - Paweł Goleń /PL/ - [[Media:Owasp_prezentacja.pdf | Slides]]<br> | ||
+ | |||
+ | ===On 25th April 2008=== | ||
+ | 5:15pm - 5:30pm ... "OWASP News" - Andrzej Targosz<br> | ||
+ | 5:30pm - 5:45pm ... "Short introduction to WarGame - CONFidence & OWASP EU" - Przemyslaw 'rezos' Skowron<br> | ||
+ | 5:45pm - 6:45pm ... "Introduction to Web Applications Security" - Filip Palian<br> | ||
+ | |||
+ | ===OWASP Partnership during QAFA and TMS=== | ||
+ | 7-8th of April 2008 there will be two interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership:<br> | ||
+ | - TMS - "Test Management Summit"<br> | ||
+ | - QAFA - "Quality for Financial Applications"<br> | ||
+ | During meetings there will be special talk about OWASP Testing metodology.<br> | ||
+ | http://www.bettersoftware.eu/archive/QAFA-TMS/ | ||
+ | |||
+ | ==2007== | ||
+ | |||
+ | ===On 06th September 2007=== | ||
+ | 6:00pm - 7:00pm ... "OWASP" - Robert 'shadow' Pajak<br> | ||
+ | 7:00pm - 8:00pm ... "OWASP SPoC" - Przemyslaw 'rezos' Skowron<br> | ||
+ | 8:00pm - 9:00pm ... "Penetration tests OWASP in practice" - Jarek Sajko<br> | ||
+ | |||
+ | ===Presentation=== | ||
+ | * Presentation: OWASP Intro By Robert 'Shadow' Pajak - [[Media:OWASP_about.pdf | Slides]] | ||
+ | * Presentation: OWASP SPoC By Przemyslaw 'rezos' Skowron - [[Media:OWASP_Day_Poland_rezos.pdf | Slides]] | ||
+ | * Presentation: Penetration tests OWASP in practice By Jarek Sajko - [[Media:OWASP_practice.pdf | Slides]] | ||
+ | |||
+ | ===On 19th April 2007=== | ||
+ | 5:30pm - 6:30pm ... "Application security testing - attack trends" - Przemyslaw Skowron<br> | ||
+ | 6:30pm - 7:30pm ... Auditor work standards<br> | ||
+ | 7:30pm - 7:45pm ... OWASP Inauguration | ||
+ | |||
+ | You could join free, registration not required. Please invite all friends interested in security. | ||
+ | |||
+ | [[Category:OWASP Chapter]] | ||
+ | [[Category:Europe]] | ||
+ | __NOTOC__ <headertabs></headertabs> |
Latest revision as of 16:02, 4 January 2020
|
|
---|---|
Who are we
The original Polish Chapter was founded in June 2007 by Andrzej Targosz and Robert Pajak. The chapter leader is Daniel Krasnokucki. Acting Chapter Board members are: Michal Kurek, Wojciech Dworakowski, Alexander Antukh, Michał Olczak, Łukasz Gołygowski.
Current events
OWASP Poland Day - Oct 16 2019
Most accurate list of our events can be found at Meetup.
Call for Papers
If you wish to present your topic at OWASP, here is our Call for Papers form.
Chapter Supporters
OWASP Poland thanks its Chapter Supporters:
- Gold Chapter Supporter
- Silver Chapter Supporter
- Silver Chapter Supporter
If your company wishes to support our chapter, please contact Alexander Antukh or Wojciech Dworakowski (terms and conditions: https://www.owasp.org/index.php/Membership).
Advanced Threat Summit 2018
Zapraszamy do udziału w 5 edycji Advanced Threat Summit, jednej z najważniejszych konferencji cybersecurity w Polsce. Konferencja odbędzie się 13-14 listopada, w Warszawie. Program AT Summit 2018 koncentruje się na tematyce wpływu automatyzacji i sztucznej inteligencji na branżę cyberbezpieczeństwa, dbałości o bezpieczeństwo w całym procesie tworzenia systemów IT oraz cybercrime. Wśród prelegentów znakomici eksperci z polski i zagranicy! Więcej informacji: https://atsummit.pl/ Członkowie i sympatycy OWASP otrzymają 10% rabat! Przy zgłoszeniu prosimy o wpisanie kodu promocyjnego „OWASP”.
Podczas pierwszego dnia konferencji odbędzie się otwarte spotkanie OWASP. Więcej informacji: https://www.meetup.com/owasp-poland/events/255963198/
SEMAFOR 2018
Jak co roku OWASP Poland jest partnerem konferencji Securiy Management Audit Forum - w skrócie SEMAFOR, Konferencja odbędzie się 15-16 marca na Stadionie Narodowym w Warszawie. W agendzie konferencji znalazło się wiele tematów dotyczących bezpieczeństwa aplikacji. Więcej informacji na stronie: https://www.computerworld.pl/konferencja/semafor
Dla członków i sympatyków OWASP organizatorzy zaproponowali 10% zniżki. Przy rejestracji należy podać kod "OWASP"
III KONFERENCJA ADVANCED THREAT SUMMIT 2016
Miło nam poinformować, że STOWARZYSZENIE OWASP objęło swoim patronatem kolejną konferencję organizowaną przez ISSA Polska oraz Evention, dotyczącą cyberzagrożeń i bezpieczeństwa IT we współczesnym świecie.
AT Summit 2016 to wyjątkowa okazja na zdobycie cennej wiedzy na temat największych zagrożeń w świecie cybersecurity. Uczestnictwo w konferencji pozwoli Państwu na nawiązanie relacji, ciekawe rozmowy i wymianę doświadczeń w gronie profesjonalistów cyberbezpieczeństwa z dużych organizacji.
Jak co roku, program ATS skoncentrowany jest na obszarach Państwa zdaniem najważniejszych na dany rok – dlatego też III edycja Advanced Threat Summit poświęcona będzie kwestii bezpieczeństwa proaktywnego, użytkownika w centrum uwagi i minimalizowaniu ryzyka.
Więcej: http://www.atsummit.pl
PolCAAT 2016
22 listopada Instytut Audytorów Wewnętrznych IIA Polska organizuje w Warszawie konferencję PolCAAT 2016. OWASP Poland jest partnerem tej konferencji.
W programie wiele tematów istotnych dla audytorów wewnętrznych. M.in.: - nowe dyrektywy GDPR, NIST, eIDAS, - wykorzystanie OWASP ASVS w audycie wewnętrznym, - zarządzanie bezpieczeństwem dostawców
Szczegóły i rejestracja na stronie IIA: https://www.iia.org.pl/kalendarium/konferencje/xii-konferencja-polcaat2016
OWASP Poland on social networks:
- Meetup as primary schedule tool
- Slideshare
- Google+ (oraz Google Calendar)
- YouTube channel
- EventBrite
Previous board members
If you have any questions about previous activities, do not hesitate to contact previous Chapter Leaders:
(2011-2017) Wojciech Dworakowski
(2009-2011) Przemyslaw Skowron
(2007-2009) Andrzej Targosz
Previous Chapter Board members:
Marek Zmyslowski
Paweł Krawczyk
2016
Security PWNing 2016
Zapraszamy serdecznie na konferencję Security PWNing 7-8 listopada w Warszawie. Security PWNing to nowa konferencja organizowana przez Instytut PWN i Gynvaela Coldwinda, a więc możemy spodziewać się wysokiego poziomu i technicznych prezentacji dotyczących aspektów bezpieczeństwa oprogramowania, Nasz chapter OWASP jest partnerem konferencji i dla członków i sympatyków OWASP przewidziana jest 15% zniżka. Szczegóły w komunikacje organizatora poniżej.
PS. Przy okazji przypominamy o możliwości wspierania działalności OWASP przez opłacenie dobrowolnej składki członkowskiej: https://www.owasp.org/index.php/Membership
SECURITY PWNing – bezpieczeństwo środowiska informatycznego!
We współczesnym świecie zmiany następują w błyskawicznym tempie. Dotyczy to także środowiska informatycznego, gdzie atakujący stale doskonalą swoje techniki, a i obrońcy nie próżnują. Powstają coraz nowsze metody ominięcia barier programowych służących zapewnieniu bezpieczeństwa, a równocześnie ewoluują rozwiązania wykorzystywane w systemach, zapewniających bezpieczeństwo IT.
W imieniu Gynvaela Coldwinda, Przewodniczącego Rady Programowej, zapraszamy do udziału w Security PWNing Conference. Uczestnicząc w konferencji poznasz bieżące zagrożenia związane z bezpieczeństwem IT oraz najnowsze metody ochrony zasobów firmowych. Dowiesz się m. in. jakie aktualne zagrożenia niesie za sobą podłączenie różnego typu urządzeń do komputera i jak można im przeciwdziałać. Najlepsi eksperci zaprezentują sposoby na poprawienie bezpieczeństwo systemów operacyjnych i aplikacji. Nie zabraknie również nowości związanych z technicznym bezpieczeństwem IT i przeprowadzaniem testów bezpieczeństwa.
W programie m. in.:
- Documented to Fail
- Graficzny format Windows Metafile: analiza wektorów ataku i najnowszych podatności
- Realne ataki, realne straty - 2016 w Polsce i na świecie
- Stan bezpieczeństwa aplikacji mobilnych polskich banków
- Śledzenie ścieżki wykonania procesu: dla security researchera i programisty
Wśród prelegentów m. in.:
GYNVAEL COLDWIND, MARIUSZ BURDACH, ANNA CHAŁUPSKA, JAMES FORSHAW, ADAM HAERTLE, MATEUSZ JURCZYK, PIOTR KONIECZNY, KRZYSZTOF KOTOWICZ, BORYS ŁĄCKI, MAREK MARCZYKOWSKI-GÓRECKI, MICHAŁ SAJDAK, REENZ0H, TOMASZ ZIELIŃSKI
Więcej informacji na stronie Instytutu PWN
Chcesz wiedzieć wszystko o bezpieczeństwie IT? Zarejestruj się na Security PWNing Conference już dziś! Specjalna zniżka dla członków i sympatyków OWASP:
Aby skorzystać z 15% rabatu proszę wpisać podczas rejestracji kod promocyjny: OWASP
Zgłoszenia na stronie
Secrets of Google VRP, Kraków, 7.04.2016
Registation: http://www.meetup.com/owasp-poland/events/229956709/
Place: METAFORMA Cafe, Powiśle 11, Kraków
Start: 18:00
We have seized the opportunity that our colleague - Krzysztof Kotowicz from Google Security Team is in a town for few days and we are organizing meeting with him. The topic of this meeting is Google Vulnerability Reward Program. Tons of practical info for bug bounters, for companies who want to organize similar programs, but also for general app-sec enthusiasts who will learn how to evaluate importance of the bug.
Secrets of Google VRP. The bug hunter's guide to sending great bugs - Krzysztof Kotowicz, Google Security Team
Did you ever want to know how a CSRF may be more dangerous than a stack buffer overflow? Are you curious what makes a bug critical? Have you ever wondered why Google Security Bot doesn't pay for open redirects, and not every XSS is the same? During this workshop, you'll get to know the answer to those questions - and all other secrets of the Google VRP too. You'll see how Google Security Team evaluates the incoming vulnerability reports, what do we focus on, and how to make our day by sending us a great bug. Several examples of vulnerabilities sent to our VRP will be presented - both successful submissions and rejected ones. We'll talk extensively about the differences between those to help you find and report the bugs worth your time. We'll discuss various OWASP Top 10 vulnerability types and how do they relate to Google VRP rules. Come to the workshop, talk to us and learn how to become one of the top bughunters!"
4Developers
Pomogliśmy przygotować ścieżkę AppSec na konferencji 4Developers, zniżka 20% na kod owasp !
KrakWhiteHat & OWASP meeting 29.02.2016 (Kraków)
Wspólnie z KrakWhiteHat zapraszamy na kolejne spotkanie OWASP. Będzie ono poświęcone głównie bezpieczeństwu aplikacji webowych.
Zachęcamy do zadawania pytań naszym prelegentom i udziału w dyskusji. Firma Helion ufundowała książki z zakresu bezpieczeństwa IT, które nasi prelegenci rozdadzą aktywnym uczestnikom spotkania. Meetup będzie okazją do nawiązania ciekawych znajomości i odnowienia starych, prowadzenia inspirujących dyskusji oraz wysłuchania wartościowych prelekcji merytorycznych.
Miejsce: Barka Alrina, ul.Podgórska 16, start 18:00
Agenda:
18:00 - 18:15 - Powitanie
18:15 - 19:00 - Adam Nowak, Doświadczony Konsultant, EY - "Bezpieczeństwo HTTPS"
Protokół HTTPS podlega nieustannym zmianom, zarówno w warstwie SSL/TLS jak i HTTP. Co kilka miesięcy słyszymy o nowych podatnościach i atakach, które wymagają aktywnych działań po stronie twórców przeglądarek, administratorów systemów oraz deweloperów. Nie jest to łatwe zadanie. Na które elementy implementacji i konfiguracji HTTPS należy zwrócić uwagę, by czuć się bezpiecznym?
W trakcie prezentacji opisane zostaną zagrożenia oraz podatności wynikające z nieprawidłowej implementacji i konfiguracji protokołu HTTPS. Przedstawione zostaną najlepsze praktyki oraz nowe trendy mające na celu zapewnienie należytego poziomu bezpieczeństwa komunikacji HTTPS.
19:00 - 19:15 - networking
19:15 - 21:00 - Jakub "unknow" Mrugalski - "Jak kraść pieniądze w sieci? - przegląd technik używanych przez cyberprzestępców. "
Unknow z UW-Team.org zaprezentuje najpopularniejsze metody na niekoniecznie legalne generowanie zysków w sieci. Każdy przykład omówiony zostanie zarówno z punktu widzenia developera jak i osoby atakującej.
O naszych prelegentach:
Adam Nowak jest doświadczonym konsultantem w zespole Advanced Security Center w firmie EY. Posiada kilkuletnie doświadczenie zawodowe w obszarze bezpieczeństwa środowisk informatycznych oraz testów penetracyjnych. Odpowiedzialny jest głównie za rozwój oraz realizację usług związanych z bezpieczeństwem aplikacji webowych.
Jakub 'unknow' Mrugalski - człowiek żyjący i nauczający w Internecie. Publikuje filmy i artykuły z tematyki programowania, Linuksa i bezpieczeństwa webowego, a ostatnio udziela nawet porad jak żyć. Aktywnie działa w social mediach. Nie ma na swoim koncie certyfikatów którymi mógłby się pochwalić, ale gdy trafi się okazja, kupi sobie jakiś aby atrakcyjniej wyglądać na liście prelegentów. Zawodowo związał się z firmą, dzięki której działa 30% Internetu na świecie i dba tam, aby pomimo zatrudnienia go, sieć ta działała nadal.
Rejestracja: http://www.meetup.com/owasp-poland/events/228956701/
SEMAFOR 2016
OWASP Poland Chapter jest partnerem konferencji SEMAFOR - Forum Bezpieczeństwa i Audytu IT organizowanej przez zaprzyjaźnione organizacje ISSA Polska i ISACA Warsaw Chapter oraz Computerworld. Po podaniu kodu promocyjnego "OWASP" przy rejestracji, można uzyskać 10% rabatu od standardowych cen.
Do wygłoszenia keynote zaprosiliśmy Barta de Win - lidera projektu OWASP OpenSAMM (Security Assurance Maturity Model). Będzie mówił o bezpieczeństwie w całym procesie wytwarzania oprogramowania (SDLC) i o tym jak darmowe narzędzia i standardy OWASP mogą w tym pomóć.
Konferencja odbędzie się 17-18 marca 2016 w Warszawie.
Strona konferencji: http://www.computerworld.pl/konferencja/semafor2016
Rejestracja: http://www.computerworld.pl/konferencja/semafor2016/zgloszenie
Poniżej podstawowe informacje od organizatorów - dokładniejsze, w tym program, na stronie konferencji:
Już po raz dziewiąty stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum Bezpieczeństwa i Audytu IT, która odbędzie się w Warszawie w dniach 17-18 marca 2016. Konferencja SEMAFOR jest jednym z najważniejszych wydarzeń związanym ze światem bezpieczeństwa informacji i audytu IT w Polsce – w 2015 r. gościliśmy ponad 350 uczestników, 18 wystawców i 22 partnerów konferencji. W czasie konferencji mieliśmy 35 prelekcji i 17 stolików tematycznych. SEMAFOR to świetna okazja do zapoznania się z bieżącymi zagrożeniami związanymi z bezpieczeństwem IT, zdobycia nowych umiejętności i doświadczenia oraz nawiązania i podtrzymania relacji w środowisku bezpieczeństwa i audytu IT.
Konferencja będzie odbywać się z uwzględnieniem 3 ścieżek tematycznych:
- Audyt IT
- Zarządzanie bezpieczeństwem informacji
- Techniczne aspekty bezpieczeństwa informacji
OWASP Krakow Event (OWASP EEE) 6.10.2015
2015
OWASP Kraków 3.12.2015
On 3rd December at 5 30 p.m. we meet in hub:raum (Przemysłowa 12 street, entrance A, 4th floor) in Kraków.
Agenda:
- CTF & Wargaming as a different hands-on approach to ICT Security Training, Marius Corîci (CTF365)
With so many enterprises being breached by hackers lately and the explosion of IoT (Internet of Things), it’s clear that SMEs, Corporations and Government Agencies need to find more effective information security training solutions for their employees. With the help of specially designed security testing and training labs, this is something that can be easily achieved.
New concepts based on gamification and inspired by the Internet, guided by capture the flag (CTF) competitions, and specially crafted for the ITC industry should be the new approach. Robust Security Training Platforms where users and teams can train and improve their offensive or defensive security skills and flexible enough to be used as add-on layer or standalone solution to improve your organization’s core security training capabilities.
- Biometrics and mobile/web apps, Bartosz Pawłowicz (VoicePIN)
There's no denying that the use of biometric technology in mobile devices is a very hot topic. Following this path, Bartosz Pawłowicz will talk about different kinds of biometrics in mobile - these widely known and the most recent. What pros and cons each of them has? What awaits us in the future with the development of biometrics?
You will also learn about the indicators of efficacy and safety offered by biometric solutions - how to understand them? How they are often manipulated or far-fetched by the producers? What really matters and what is a marketing ploy? In addition, Bartosz will discuss the impact of the test base on the results and the differences between tests and reality.
Registration: http://www.meetup.com/owasp-poland/events/226905018/
OWASP Warszawa 13.10.2015
Spotkanie OWASP w Warszawie będzie dedykowane problematyce bezpieczeństwa systemów wbudowanych i Internetowi rzeczy (IoT). Data i miejsce spotkania: 13 października 2015, 18:00-20:00
EY Rondo ONZ 1, Warszawa Sala: 14-40 (piętro 14)
Uczestnictwo w spotkaniu jest bezpłatne. Prośba o rejestrację na stronie EventBrite, z uwagi na ograniczoną liczbę miejsc:
http://www.eventbrite.com/e/owasp-poland-warszawa-13-pazdziernika-2015-registration-18791952235
Agenda:
18:00 - 18:15 - Meeting opening, OWASP news
18:15 - 19:00 - Secure IoT - Myth or the necessity - Marcin Strzałek, Consultant, EY
Internet of Things is not only a catchy slogan, but a real trend of connecting to public networks multiple Things like fridges, bulbs, home cameras, baby monitors, lockers and even sniper rifles. All of these devices have one common feature – lack of consistent security measures, that allows attackers to disclose or tamper sensitive private data. During presentation we will describe most interesting security vulnerabilities identified in different Things, typical issues and same simple solutions as well as challenges and differences in IoT security comparing with standard web / mobile security.
Marcin is a Consultant within EY’s IT Risk and Assurance division specializing in information technology systems security audits, especially in the field of mobile application penetration testing, reverse engineering malware and source code review. He graduated from Warsaw University of Technology in Warsaw and obtained Bachelor of Science Degree in Computer Science. Currently he holds following certificates: GIAC Reverse Engineering Malware (GREM), Certified Information Systems Auditor (CISA), ISTQB Certified Tester Foundation Level.
19:00 - 19:45 - Towards the WWW of Things? Give me a ReST! Securing Communications Protocols in the IoT - David Fuhr, NTITY
While in the world of automation a large number of proprietary and/or insecure communications protocols are still being used, modern web-like protocols and approaches like ReST and SOA are trying to become the standard to network “Everything”. In this talk, two of the most promising candidates – OPC UA and MTConnect – will be presented and their different security models compared, weaknesses explained. This provides valuable insight for developers as well as auditors of IoT applications.
David Fuhr is a security researcher based in Warsaw, Poland. A trained mathematician, he has specialized in cryptography, network and cloud security. He loves to analyze not only protocols but likewise technical standards. David is the founder of NTITY [www.ntity.de], a Berlin, Germany based advanced cyber security consultancy. He has a strong track record of technical audits and risk assessments of ICS (Industrial Control Systems) and automation technology with a focus on critical infrastructures and works internationally as a trainer, coach, instructor, and presenter.
OWASP Krakow Event (OWASP EEE) 6.10.2015
We would like to accounce OWASP Krakow Event which is a part of global OWASP Eastern European Event (EEE). The local Krakow event will take place on 6th October.
More details about this event here..
CFP here.
Global event page is here.
Follow us on Twitter.
OWASP Kraków 10.09.2015
On 10. september at 6 p.m. we meet in Tech Space (Wyczółkowskiego 7 street) in Kraków. Both talks will be in English.
Agenda:
18 00 - 18 15 Intro, slides here
18 15 - 19 00 From bug to Metasploit module, Ewerson (Crash) Guimaraes, EPAM
The Local File Incluison, privilege escalation, CSRF and command execution are old bugs, but still present in applications available over internet.
Over the past two years were about 300 publications related to this bugs in applications that can be downloaded and easily installed on a server exposed in internet.
These statistics not include institutional sites and systems that are developed specifically internally or to a particular customer, that is, there are hundreds of thousands of vulnerable systems.
This talk will show a effective way to exploit this flaws and furthermore, show the way to better understanding and explore the bugs effectively and how to create a Metasploit module/exploit.
19 00 - 19 15 Break
19 15 - 20 00 Google bug bounty - is it worth it or just a waste of time?, Michał Bentkowski, securitum.pl, slides here
In the presentation I will talk about my two year adventures with Google’s bug bounty programme. I will share my general feeling about organisational issues like: communication or payments, but most importantly I will show a few specific bugs I have submitted. These will particuarly include some unusual XSS bugs, exploiting quirks in both browsers and web servers.
20 00 - ... Outro
Registration: https://www.eventbrite.com/e/owasp-meeting-10092015-tickets-18296621688
DevOps + OWASP Kraków 18.03.2015
Zapraszamy na spotkanie zorganizowane wspólnie z Kraków DevOps. Start 18 marca 2015, godzina 18:00, w Tech Space (Leona Wyczółkowskiego 7, ).
Agenda:
18:00 - 18:15 / Przywitanie
18:15 - 19:15 / Monitoring @ scale
19:15 - 19:45 / Social (aka piwo+pizza)
19:45 - 20:15 / OWASP + DevOps - kilka przydatnych narzędzi
20:15 - 22:00 / Social (aka piwo+pizza)
Prezentacje:
Monitoring @ scale (Sławomir Skowron)
Sławek opowie o tym jak był budowany i jak ewoluował, aby stać się skalowalnym i wydajnym (5 mln metryk na minutę) systemem zbierania pomiarów z każdego komponentu infrastruktury w zmiennym środowisku chmury AWS.
OWASP + DevOps (Mateusz Olejarka)
W trakcie prezentacji zostaną pokrótce przedstawione projekty OWASP, które mogą przydać się zwłaszcza w modelu continious delivery. W projektach takich szczególnie ważne jest dostarczenie programistom właściwych narzędzi, które pozwolą na lepsze zintegrowanie cech bezpieczeństwa z aplikacją. Omówione zostaną między innymi: ESAPI - to biblioteka, która ułatwia pisanie bardziej bezpiecznych aplikacji lub wprowadzanie zabezpieczeń do istniejących aplikacji. AppSensor - to koncepcja i referencyjna implementacja narzędzi, które pozwalają na wykrywanie i odpowiadanie na ataki z poziomu aplikacji.
REJESTRACJA: http://www.meetup.com/Krakow-DevOps/events/220965784/
SEMAFOR
Już po raz ósmy stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum Bezpieczeństwa i Audytu IT, która odbędzie się w Warszawie w dniach 26 i 27 marca 2015 roku.
Konferencja SEMAFOR jest jednym z najważniejszych wydarzeń związanych ze światem bezpieczeństwa informacji i audytu IT w Polsce. W tym roku pod hasłem "Nowa odsłona bezpieczeństwa informacji i audytu IT" skoncentrujemy się wokół praktycznych zagdanień z obszaru audytu IT, technicznych i zarządczych aspektów bezpieczeństwa informacji, wyzwaniami związanymi z regulacjami prawnymi i IT Governance.
W tym roku pod hasłem „Nowa odsłona bezpieczeństwa informacji i audytu IT” skoncentrujemy się wokół praktycznych zagadnień z obszaru audytu IT, technicznych i zarządczych aspektów bezpieczeństwa informacji, wyzwaniach związanych z regulacjami prawnymi i IT Governance.
Na program konferencji złożą się 3 ścieżki merytoryczne:
- Audyt IT, ścieżka poświęcona wymaganiom audytu IT w zmieniającym się świecie IT, wyzwaniom stojącym przed IT Governace, itp.
- Zarządzanie bezpieczeństwem informacji - poświęcona zarządzaniem bezpieczeństwem informacji i ryzykiem operacyjnym, wyzwaniami regulacyjnymi, ochroną danych osobowych i prywatności, jak również ciągłości działania. Chcielibyśmy omówić także miękkie aspekty pracy w bezpieczeństwie informacji.
- Techniczne aspekty bezpieczeństwa informacji, w której prowadzone będą prelekcje bardziej techniczne poświęcone cyberbezpieczeństwu, zagrożeniom, atakom, informatyce śledczej, a także zabezpieczeniom aplikacji, infrastruktury IT w tym infrastruktury krytycznej, bezpieczeństwie w rozwoju aplikacji, itp.
Dla członków OWASP zniżka od cen na stronie to dodatkowe 10%.
Strona konferencji: http://www.computerworld.pl/konferencja/semafor2015
2014
OWASP Poznań 2.12.2014
Serdecznie zapraszam na kolejne spotkanie OWASP w Poznaniu, które odbędzie się 2 grudnia (16:00-18:00).
Spotkanie odbędzie się w Centrum Kongresowe i Hotel IOR ul. Węgorka 20
Agenda:
16:00 - 16:10 - Otwarcie spotkania, aktualności OWASP Polska
16:15 - 17:00 - Phishing - Atak i obrona - Dawid Golak (Allegro.pl)
17:05 - 18:00 - Modelowanie zachowań użytkowników serwisów internetowych w celu identyfikacji prób ataku (dr Marek Zachara, AGH)
Rejestracja: tutaj.
OWASP Warszawa 19.11.2014
Spotkanie OWASP w Warszawie odbędzie się 19.11.2014 w Centrum Sztuki Fort Sokolnickiego ul. Stefana Czarnieckiego 51, start godzina 17:30.
Agenda:
17:30 - 17:45 - Otwarcie spotkania, aktualności OWASP Polska
17:45 - 18:15 - OWASP ASVS 2.0 (Application Security Verification Standard) - Wojciech Dworakowski, OWASP Poland Chapter Leader, Securing
Prezentacja ma na celu przedstawienie standardu weryfikacji bezpieczeństwa aplikacji ASVS (Application Security Verification Standard). Standard ten można stosować już na etapie definiowania wymagań w celu ustalenia wymagań dotyczących zabezpieczeń (również niefunkcjonalnych). Na etapie weryfikacji umożliwia on sprawdzenie czy są stosowane zasady dobrej praktyki i pozwala audytorowi na wypowiedzenie się o tym co jest poprawne a nie tylko na koncentrowanie się na błędach, jak to ma miejsce przy nieustandaryzowanych testach bezpieczeństwa. Warto podkreślić, że ASVS ma formę listy kontrolnej podzielonej na poziomy w zależności od ryzyka, w związku z tym zakres weryfikacji może być dobrany adekwatnie do specyfiki aplikacji.
Standard ten został stworzony w roku 2009 roku w ramach projektu OWASP (Open Web Application Security Project) i został przetłumaczony na kilkanaście języków, w tym polski. W tym roku ukazała się aktualizacja standardu ASVS i na tej nowej wersji będzie skupiona prezentacja.
18:15 - 18:45 - Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? - Jakub Botwicz, EY Advanced Security Center
W prezentacji zostanie przedstawiony przegląd technik i narzędzi pozwalających identyfikować podatności bezpieczeństwa w aplikacjach, wraz z dyskusją na temat specyfiki poszczególnych metod.
18:45 - 19:00 - Kwestie dodatkowe, zamknięcie spotkania
Rejestracja tutaj.
OWASP Kraków 21.10.2014
Zapraszamy na kolejne spotkanie poświęcone bezpieczeństwu aplikacji. Tym razem będzie nas gościć Akademia Górniczo Hutnicza w Krakowie (pawilon C-2, sala 224). Start 18:00.
W programie dwa wykłady dotyczące badań nad bezpieczeństwem aplikacji. Obydwa tematy miały niedawno premierę na międzynarodowych konferencjach - "AppSec Research" w Cambridge i "International Conference on Computational Collective Intelligence Technologies and Applications" w Seulu. Udało nam się namówić prelegentów na zaprezentowanie tych badań na naszym spotkaniu.
Ponadto chcemy podyskutować o karierze w bezpieczeństwie informacji a konkretnie o certyfikatych zawodowych. Pojawi się również nowy stały element naszych spotkań - "Giełda Pracy" czyli czas kiedy potencjalni pracodawcy będą mogli krótko zaprezentować swoją ofertę pracy lub staży. Pracodawcy, którzy skorzystać z tej okazji, proszeni są o wcześniejszy kontakt z Wojciechem Dworakowskim ([email protected]). Czas na pojedynczą prezentację pracodawcy - 3 min.
Program:
Przedstawienie wyników projektu badawczego nakierowanego na automatyczne tworzenie profilu zachowań użytkowników serwisu internetowego, tu w rozumieniu przejść pomiędzy stronami (page flow). Reprezentacja grafowa takich przejść pozwala z jednej strony poradzić sobie z dużą ilością danych (przechowywanych w jednym grafie), z drugiej identyfikować nietypowe przejścia. Dzięki temu można identyfikować próby ataku np. typu 'forceful browsing', próby identyfikowania standardowych modułów administracyjnych (np. 'phpmyadmin') itp. Dużą zaletą tego rozwiązania jest brak konieczności konfiguracji i utrzymywania tego systemu ochrony - dostosowuje się on 'na bieżąco' do istniejącej aplikacji internetowej.
2. Przechwytywanie ruchu w niestandardowych protokołach sieciowych (Jakub Kałużny, SecuRing)
Istnieje mnóstwo narzędzi umożliwiających przechwytywanie ruchu HTTP/HTTPS, co świetnie się sprawdza podczas testowania aplikacji webowych oraz mobilnych. Jednak podczas testów penetracyjnych specjalizowanego oprogramowania "embedded" lub "grubego klienta" często spotykamy się z nieznanymi i nieudokumentowanymi protokołami sieciowymi. Takiej warstwy pośredniczącej nie da się obsłużyć za pomocą szeroko dostępnych narzędzi "local proxy", a bez zrozumienia i rozłożenia protokołu na czynniki pierwsze, testowanie "backendu" jest bardzo ograniczone. Z naszego doświadczenia wynika, że pod przykrywką nieznanego protokołu, stanowiącego zabezpieczenie typu "security by obscurity", często znajdują się kompletnie niezabezpieczone mechanizmy łamiące wszelkie zasady dotyczące bezpiecznego programowania.
3. Certyfikaty zawodowe dotyczące bezpieczeństwa IT/aplikacji - Czy warto? (otwarta dyskusja)
CISSP, CISM, OSCP, OSCE, eCCPT, Sec+, itp. itd. Co wybrać? Czy warto inwestować czas i pieniądze? Proponujemy kontynuacje dyskusji, która wywiązała się na grupie Linkedin OWASP Poland. Zapraszamy zarówno tych którzy zastanawiają się nad wyborem ścieżki zawodowej, tych którzy już zaczęli ale myślą czy warto inwestować w certyfikaty zawodowe, tych którzy już zdobyli któreś z certyfikatów i zechcieliby podzielić się swoimi doświadczeniami, jak i pracodawców.
Rejestracja tutaj.
OWASP Kraków 26.05.2014
We would like to invite You to the next OWASP meeting. It will take place on 26. May, and will be joined with CONFidence conference (http://2014.confidence.org.pl/pl/) before party. Therefore You could expect multinational company and a few conference speakers present as well. Both presentations will be in English.
Place: Barka Augusta (barge Augusta on Wisła river, near Podgórska street, http://www.restauracjaaugusta.pl/)
Program:
- 19.00-19.15 OWASP News
- 19.15-19.45 Security in continuous delivery environment, Jakub Nawalaniec, Base CRM
The presentation will cover topics related to developing secure SOA applications in Continuous Delivery environment, based on my experiences from Base CRM. I will begin exploring the topic by describing formal and technical aspects of software development in Base. I will showcase how we are dealing with typical SOA related security problems and our technical solutions that help to us to mitigate most common risks. Next I will outline the dangers of Continuous Delivery in SOA environment. I will describe both technical and organizational efforts to improve security in such environment.
- 19.45-20.00 short break
- 20.00-20.40 BDD Security - Automated security testing based on BDD, Krystian Piwowarczyk, Rule Financial
Software development life-cycle is getting more and more automated. Continuous integration has become the standard nowadays. Continuous deployment reduced the time in delivering fixes from days to hours or even minutes. Automated tests are used from single method level to whole system integration level. Is it possible to move security tests from pre-release phase to this automated software development life-cycle? How can we deliver top notch security level to high risk web platforms? What toolset can we use to do this?
Registration: http://owasp-krakow-20140525.eventbrite.com
Open Source Day 2014
OWASP Polska został partnerem konferencji Open Source Day 2014.
W programie - wykłady prowadzone przez specjalistów z czołówki światowych firm w sektorze Open Source: Red Hat, EnterpriseDB, Liferay, IBM, MongoDB, Intel, DataStax, Github i innych...
Będą też tematy stricte OWASP-owe:
- Omówienie dokumentów i narzędzi OWASP
- Warsztat modsecurity na którym będzie m.in. o zastosowaniu OWASP ModSecurity Core Rule Set
Pełna agenda konferencji: http://opensourceday.pl/osd-2014/agenda
Warsztaty: http://opensourceday.pl/osd-2014/warsztaty
Konferencja odbędzie się 13-14 maja w Warszawie w hotelu Marriott. Wstęp wolny, po wcześniejszej rejestracji na stronie: http://opensourceday.pl/osd-2014/rejestracja-osd-2014
4Developers
OWASP Poland objął patronat nad tegoroczną edycją konferencji 4Developers. Dla sympatyków OWASP organizatorzy obiecali 15% zniżki od stawek standardowych, po podaniu kodu promocyjnego: 2k14-OWASP.
Więcej informacji na stronie konferencji: http://2014.4developers.org.pl/pl/
SEMAFOR 2014
Nie może Cię zabraknąć na Semaforze 2014 – najważniejszym wydarzeniu związanym z IT Security w Polsce. Już po raz siódmy stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na SEMAFOR 2014. VII Forum Bezpieczeństwa i Audytu IT, które odbędzie się 27-28 marca 2014 roku w Warszawie.
W tym roku program koncentruje się na zagadnieniach audytu IT i bezpieczeństwa informacji dotyczących czterech aktualnych top trendów: przetwarzanie w modelu Cloud Computing, urządzenia mobilne, sieci społecznościowe oraz Big Data.
Dla odbiorców OWASP rabat 10% – cena 1125 zł netto przy zgłoszeniu do 14 marca. By wziąć udział w najważniejszym wydarzeniu związanym z IT Security w Polsce i skorzystać z rabatu – zarejestruj się poprzez ten link.
Więcej informacji na temat konferencji można znaleźć tutaj.
OWASP Kraków - 29 stycznia 2014
Zapraszamy na spotkanie OWASP Poland w Krakowie, 29 stycznia 2014 (środa) o godzinie 17:00 w siedzibie Google, Rynek Główny 13. Sala Google for Entrepreneurs, III piętro:
Program:
- 17.00-17.15 OWASP News
- 17.15-18.15 Bezpieczeństwo WebView w systemie iOS - Łukasz Pilorz
- 18.15-18.30 przerwa kawowa
- 18.30-19.30 Obrona przed SQL-injection w aplikacjach Java/J2EE - Piotr Bucki (j-labs)
Rejestracja: http://owasp-krakow-jan2014.eventbrite.com
2013
OWASP Kraków - 17 października 2013
Zapraszamy na spotkanie OWASP Poland w Krakowie, 17 października 2013 (czwartek) o godzinie 17:00 w siedzibie Google, Rynek Główny 13. Sala Google for Entrepreneurs, III piętro:
Program:
- 17.00-17.15 OWASP News
- 17.15-18.00 Shall We play a game? - Maciej Lasyk, (ex-Ganymede) (prezentacja)
- 18.00-18.15 przerwa kawowa
- 18.15-18.45 OWASP Top 10 i ASVS 2013 - Co nowego? - Wojciech Dworakowski (prezentacja)
- 18.45-19.30 Świat po Snowdenie. Czy i co możemy z tym zrobić? Dyskusja
Rejestracja: http://owasp-krakow.eventbrite.com/
OWASP Poznań - 24 września 2013
Zapraszamy na trzecie spotkanie OWASP Poland w Poznaniu, 24 września 2013 (wtorek) o godzinie 15:00 w Centrum Konferencyjnym IOR, ul. Władysława Węgorka 20A (wejście od Grunwaldzkiej)
Program:
- 15.00 - OWASP News
- 15.10 - Taras Ivashchenko "Content Security Policy"
- 15.55 - przerwa kawowa
- 16.10 - Michał Olczak "Antimalware Webapp Solution"
- 16.55 - TBA
Rejestracja: https://owasppoznan.eventbrite.com
OWASP Warszawa - 26 czerwca 2013
Czerwcowe spotkanie OWASP w Warszawie.
Program:
- 18:00 - 18:15 - Otwarcie spotkania, aktualnosci OWASP Polska
- 18:15 - 19:00 - "Ataki rozproszonej odmowy usługi - przegląd zagrożeń" - Aleksander Ludynia, Menedżer, Ernst & Young
- 19:00 - 19:30 - "Ataki rozproszonej odmowy usługi - omówienie zabezpieczeń" - Paweł Chwiećko, Senior Security Engineer, VP
Dostępność danych jest kluczowym czynnikiem dla efektywnej realizacji działalności biznesowej. Jako niezwykle istotny element biznesu stała się ona celem poważnych ataków mających na celu uniemożliwienie dostępu do danych - ataków Denial of Service (DoS). Podczas pierwszej prezentacji zostaną omówione ataki DoS oraz DDoS, ich parametry, statystyki oraz źródła pochodzenia. Zademonstrowane zostaną również narzędzia, za pomocą których są one prowadzone. Druga prezentacja poruszy problematykę skutecznej obrony przed atakami DDoS oraz będzie wstępem do dyskusji dotyczącej zagadnień związanych z atakami odmowy usługi.
Aleksander jest Managerem w Dziale Zarządzania Ryzykiem Informatycznym w Ernst & Young odpowiedzialnym za realizację projektów związanych z bezpieczeństwem systemów informatycznych. Specjalizuje się w testach penetracyjnych aplikacji internetowych oraz przeglądach bezpieczeństwa.
Paweł od 12 lat zajmuje się bezpieczeństwem i ochroną informacji. Od 6 lat związany z globalną instytucją finansową. W latach 2007-2010 członek zespołu EMEA Security Engineering w Londynie zajmującego się m.in. projektowaniem i wdrażaniem rozwiązań network security w regionie EMEA. Od 2011 r. członek zespołu Global Network Security Threat Defense Engineering zajmującego się m.in. testowaniem i opracowywaniem rozwiązań DDoS Protection, IDPS, SSL Decryption, NAC. Główne obszary zainteresowań w bezpieczeństwie informacji to Cyber Crime i Cyber Wars.
Rejestracja:
Lokalizacja, dojazd i rejestracja na stronie EventBrite.
OWASP Kraków - 8 maja 2013
Majowe spotkanie OWASP w Krakowie.
Program
- OWASP News
- Bezpieczeństwo a zarządzanie projektami - Wojciech Dworakowski (30 minut) - Jak NIE bawić się w IT, czyli słów kilka o błędach większych i mniejszych w zarządzaniu (nie tylko) systemami i sprzętem. Prezentacja zawiera studium kilku autentycznych przypadków, które spotkały autora prezentacji i jego znajomych, pracujących w branży IT. Całość podzielona jest na analizę kilku sytuacji, wśród których poruszane są następujące tematy: 1. Mimowolne udostępnienie poufnych danych oraz danych osobowych, 2. Problemy występujące na styku zarządzania zespołem i kwestiami technicznymi (z punktu widzenia administratora sieci i systemu) – omówienie zagrożeń związanych również z bezpieczeństwem tych sieci/systemów, 3. Słabe punkty „mocnych” systemów zabezpieczeń – czyli dlaczego nawet atak fizyczny na biuro firmy ma szansę powodzenia, 4. Błędy popełniane często przez kierowników zespołów, a mogące mieć kluczowe znaczenie w kwestiach bezpieczeństwa IT, 5. Czy cloud computing jest OK i dlaczego nie? File:Obcy kod (2013).pptx
- Model bezpieczeństwa rozszerzeń Google Chrome - Krzysztof Kotowicz (SecuRing) (30 minut) - Rozszerzenia Google Chrome mogą pomóc ci w sporządzaniu notatek, pozwalają przeglądać feedy RSS, wpółdzielić odwiedzane strony ze znajomymi. Te aplikacje HTML5 mogą jednak również śledzić Cię, przekierować ruch na złośliwy serwer proxy, wykonać kod Javascript na dowolnej domenie (Global XSS), odczytać wszystkie twoje ciasteczka i całą historię. Wiele napisanych rozszerzeń zawiera podatności, dzięki którym atakujący może przejąć kontrolę nad Twoją przeglądarką. Na prezentacji dowiesz się, jak wygląda model bezpieczeństwa rozszerzeń Google Chrome, zobaczysz skutki wykorzystania podatności w popularnych rozszerzeniach. Nauczysz się również analizować kod rozszerzeń tak, aby samemu przygotowywać ataki.
- Dyskusja na temat zagrożeń związanych z włączaniem do kodu strony obcej zawartości (reklam, statystyk, itp.) (30-60 minut) - Chcielibyśmy przeanalizować zagrożenia jakie wiążą się np. z osadzeniem w kodzie strony reklam serwowanych przez add-server. Jeśli atakujący przejmie kontrolę nad add-serverem (a nie jest to z reguły oprogramowanie pisane z myślą o bezpieczeństwie ;) to może w łatwy sposób np. osadzać wrogi kod na wszystkich stronach obsługiwanych przez add-serwer, zmieniać wygląd stron, itp. Problem będziemy chcieli omówić na przykładzie realnych incydentów - instytucji zaufania publicznego z branży finansowej oraz popularnego portalu poświęconego bezpieczeństwu IT. Liczymy na gorącą dyskusję! File:Bezpieczeństwo a zarządzanie projektami (2013).pptx
Szczegóły i rejestracja: http://www.eventbrite.com/event/6458841569
OWASP Poznań - 11 kwietnia 2013
Kwietniowe spotkanie OWASP w Poznaniu.
Program:
- 15.00 - OWASP News
- 15.15 - Jakub Masłowski "Praktyka Bezpiecznika - za kulisami w Allegro"
- 16.00 - Jakub Tomaszewski "OWASP Top 10 2013"
Rejestracja:
Lokalizacja, dojazd i rejestracja na stronie EventBrite. Biletów nie trzeba przynosić - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu.
OWASP Warszawa - 6 marca 2013
Marcowe spotkanie OWASP w Warszawie.
Program:
- 18:00 - 18:15 - Otwarcie spotkania, aktualności OWASP Polska
- 18:15 - 19:00 - "Why can't we secure our applications?" - Eoin Keary, wiceprezes OWASP. Omówienie obecnej sytuacji w zakresie bezpieczeństwa aplikacji wobec aktualnych wyzwań i zagrożeń w tym obszarze (prezentacja w języku angielskim). Eoin Keary jest znanym liderem w obszarze bezpieczeństwa oprogramowania i testów penetracyjnych. W ramach działalności w OWASP nadzorował wdrażanie OWASP Testing and Security Code Review Guides oraz OWASP SAMM, ASVS and the OWASP Cheat Sheet Series. Swoją działalnością przyczynił się do rozwoju bezpieczeństwa w największych światowych korporacjach finansowych oraz FMCG.
- 19:00 - 19:45 - "2012 w bezpieczeństwie aplikacji PHP" - Łukasz Pilorz, Allegro. Przegląd najciekawszych podatności we frameworkach i popularnych aplikacjach PHP z ostatnich kilkunastu miesięcy. Zaprezentowane zostaną przykłady podatnego kodu, praktyczne metody wykorzystania podatności, a także zaaplikowane łatki. Łukasz Pilorz jest specjalistą ds. bezpieczeństwa IT w Grupie Allegro. Prywatnie o bezpieczeństwie pisze na swoim blogu: http://lukasz.pilorz.net
Rejestracja:
Lokalizacja, dojazd i rejestracja na stronie EventBrite. Biletów nie trzeba przynosić - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu.
OWASP Kraków - 20 lutego 2013
Lutowe spotkanie OWASP w Krakowie.
Program:
- OWASP News
- Leszek Miś - "Czy Twój WAF to potrafi? - modsecurity"
- Łukasz Lenart - "How secure your web framework is? Based on Apache Struts 2"
- Piotr Konieczny - "Content Security Policy"
Opisy:
Temat: "Czy Twój WAF to potrafi? - modsecurity."
Opis: WAF WAFowi nie równy. W dobie coraz większej liczby uruchamianych aplikacji webowych i coraz częściej przeprowadzanych na nie ataków, posiadanie firewalla aplikacyjnego stało się kluczowe, a w niektórych środowiskach wręcz wymagane. Czy jesteśmy skazani na rozwiązania komercyjne? A może nie znamy w pełni możliwości otwartoźródłowych WAFów? Podczas prezentacji przedstawię funkcjonalności drzemiące w projekcie modsecurity z uwzględnieniem realnych przypadków i własnych doświadczeń. Nie zabraknie również nowinek dotyczących rozwoju projektu jak i omówienia ciekawych sposobów jego wykorzystania jak np. wykrywanie faktycznej lokalizacji/IP atakującego za TOR-em.
O autorze: IT Security Architect w firmie Linux Polska Sp. z o.o. Lider projektu WALLF Web Gateway. Od 10 lat zawodowo związany, a prywatnie zafascynowany oprogramowaniem open source, głównie, ale nie tylko, pod kątem aspektów związanych z (nie)bezpieczeństwem IT. Instruktor/egzaminator technologii Red Hat. Prowadzi szkolenia i egzaminy ze ścieżki RHCA/RHCSS/RHCE.
Rejestracja:
Lokalizacja, dojazd i rejestracja na stronie EventBrite. Biletów nie trzeba przynosić - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu.
- konferencja CONFidence 2013, 28-29 maja w Krakowie, zniżka 15% z kodem 2k13-owasp
- konferencja SEConference 2013, 24-25 maja w Krakowie.
Semafor 2013
Konferencja Semafor na stałe wpisała się w polski kalendarz społeczności IT i bezpieczeństwa informacji. Unikalna formuła będąca połączeniem tematyki z obszarów nadzoru IT (IT Governance) i bezpieczeństwa informacji już od pięciu lat przyciąga uwagę kadry kierowniczej przedsiębiorstw, sektora publicznego, administracji oraz organizacji pozarządowych. Konferencja stwarza warunki do bezpośrednich rozmów, dyskusji i wymiany doświadczeń między dyrektorami, menedżerami oraz ekspertami technicznymi.
Semafor 2013 umożliwia spotkanie z autorytetami branżowymi, doświadczonymi prelegentami i znanymi na całym świecie osobistościami zajmującymi się bezpieczeństwem informacji. To także okazja do zapoznania się z najnowszymi wyzwaniami bezpieczeństwa, trendami zagrożeń, standardami i rozwiązaniami technicznymi w obszarze IT i ochrony informacji.
Konferencja Semafor 2013 jest organizowana po raz szósty, pierwsza odbyła się w 2007 roku. Wydarzenie organizują stowarzyszenia ISSA Polska i ISACA Warsaw Chapter oraz magazyn Computerworld. W przygotowaniu spotkania udział bierze stowarzyszenie OWASP Polska i Fundacja Bezpieczna Cyberprzestrzeń. Nad programem konferencji czuwa Rada Programowa, w której zasiadają doświadczeni przedstawiciele ww. organizacji, przedstawiciele kierownictwa IT i komórek bezpieczeństwa w czołowych firmach branży finansowej, technologicznej, telekomunikacyjnej, energetycznej i sektora publicznego.
Wśród prelegentów można spotkać wybitnych przedstawicieli ze świata IT i bezpieczeństwa takich jak Ira Winkler, John Mitchell, Raoul Chiesa czy Eoin Keary.
http://konferencje.computerworld.pl/konferencje/semafor2013/program.html
OWASP Poznań - 31 stycznia 2013
Zapraszamy na pierwsze spotkanie OWASP Poland w Poznaniu. Dostępny jest kompletny zapis video ze spotkania.
- 15.00 Wojciech Dworakowski "Open Web Application Security Project"
- 15.45 Paweł Krawczyk "Zarządzanie bezpieczeństwem aplikacji w dużej firmie"
- 16.30 Krzysztof Kotowicz, SecuRing "HTML 5 – atak i obrona"
- 17.15 TBD
Rejestracja i informacje dojazdu na stronie owasppoznan.eventbrite.com. Biletów nie trzeba drukować - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu itd.
2012
OWASP Kraków - 5 grudnia 2012
Grudniowe spotkanie OWASP Poland odbędzie się w Krakowskim Parku Technologicznym:
- OWASP News
- Robert Pająk, CSO Interia.pl - "Bezpieczeństwo aplikacji - jak to u nas działa?"
- Piotr Bucki, J-Labs - "Frameworki J2EE vs cross-site scripting"
Szczegóły dojazdu i rejestracja na stronie EventBrite. "Biletów" nie trzeba drukować - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu itd.
Spotkanie OWASP Kraków - 26 września 2012
Wrześniowe spotkanie OWASP Poland odbędzie się tradycyjnie w Krakowskim Parku Technologicznym (Aleja Jana Pawła II 41L 31-000 Kraków). Program spotkania:
- OWASP News
- Piotr Linke (Sourcefire) - wykrywnie i blokowanie włamań do aplikacji webowych
- Paweł Krawczyk - Password best practices (also see Securing Password Storage, Cigital 2012)
Rejestracja: http://www.eventbrite.com/event/4383557338 G+ FB LinkedIn
Spotkanie OWASP Warszawa - 9 października 2012
Miejsce spotkania: Ernst & Young, Rondo ONZ 1, Warszawa, Sala: 14-40 (pietro 14), 18:00-20:00
Prosba o potwierdzenie uczestnictwa do: [email protected] lub na http://www.eventbrite.com/event/3089399477
Agenda:
- 18:00 - 18:15 - Otwarcie spotkania, aktualnosci OWASP Polska
- 18:15 - 19:00 - Bankowosc mobilna - analiza ryzyka na przykladzie telefonow iPhone
- Czy bankowosc mobilna jest bezpieczna? Jakie sa glowne zagrozenia dla przecietnego uzytkownika? Pokazemy tez, jak sprawdzic, czy aplikacja mobilna jest dobrze napisana. Podczas spotkania omowimy i zweryfikujemy na zywo kluczowe mechanizmy bezpieczenstwa.
- Prowadzacy: Mariusz Burdach, Prevenity
- 19:00 - 19:45 - Zapewnienie bezpieczenstwa w calym cyklu zycia aplikacji - czyli dlaczego lepiej zapobiegac chorobom, niz leczyc je w zaawansowanym stadium
- Obecnie powszechne jest testowanie penetracyjne aplikacji przed wdrozeniem w srodowisku produkcyjnym korzystajac z uslug firm zewnetrznych. Pozwala to wykryc istotne z punktu widzenia bezpieczenstwa bledy i zweryfikowac poprawnosc calego procesu tworzenia aplikacji lub wprowadzania w niej zmian. Co bedzie, jesli powazne bledy zostana znalezione na tym etapie? Ile kosztuje ich naprawienie i czy tych kosztow mozna byloby uniknac? W trakcie prezentacji opowiem o praktykach, ktore pozwalaja uzyskac mozliwie najwyzsza jakosc aplikacji w calym cyklu jej zycia - jednoczesnie ograniczajac koszty bledow.
- Prowadzacy: Jakub Botwicz, Ernst & Young
- 19:45 - 20:00 - Kwestie dodatkowe, zamkniecie spotkania
Spotkanie OWASP Kraków - 22 maja 2012
Wstępna agenda na 22 maja 2012:
- Piotr Bucki, "Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku CSRF" (File:Prezentacja csrf j-labs.pdf)
- Na wykładzie pokażemy na czym polega atak CSRF. Następnie pokażemy jakie zabezpieczenia (i czy w ogóle) oferują popularne WEBowe frameworki Java.
- Łukasz Tomaszkiewicz, "Hardening IIS" (File:Hardening iis.pdf)
- Patchowanie systemów (+ Baseline Security Analyzer)
- Web Application Security Analyzer
- Usunięcie niepotrzebnych komponentów IIS
- Bezpieczeństwo adresów (długie URLe i query stringi, UTF w URLach, double-encoded requests)
- Ukrywanie banerów i stron błędów
- URLScan
- Konta Application Pool
- Bezpieczeństwo systemu plików
- Limitowanie ilości połączeń (anty-DoS)
- Wymuszanie mocnego szyfrowania SSL + ustawianie zaufanych certyfikatów dla usług działających w oparciu o IIS
- w trakcie ustalania
Lokalizacja i mapka na stronie Eventbrite. Prosimy o rejestrację (pobranie darmowych "biletów") żebyśmy wiedzieli ile osób się mniej więcej spodziewać. Spotkanie koordynuje Paweł Krawczyk (+48-602-776959).
Streaming
Dla tych, którzy nie będą mogli uczestniczyć osobiście, postaramy się udostępnić streaming za pomocą GoToMeeting (Meeting ID: 464-904-886). https://www3.gotomeeting.com/join/464904886
Uwaga: Wymagana instalacja oprogramowania GoToMeeting. Ilość uczestników on-line jest ograniczona (25 połączeń). Start - godzina 18:00.
CONFidence 2012
PL
CONFidence nabiera rozpędu, więc przygotujcie się na dwa dni ekstremalnie zapełnione wykładami i atrakcjami! Tego jeszcze nie było! Prezentacje podzielone na cztery grupy tematyczne (2 ścieżki na dzień), ponad 30 prelegentów, nowinki z branży, warsztaty oraz gra szpiegowska X-traction Point, która zaskoczy wszystkich!
Wtępnie agenda zawiera wydzielone cztery ścieżki tematyczne:
- WebSec, bezpieczeństwo aplikacji webowych,
- Cross- Layer, protokoły komunikacyjne, Serwery, Aplikacje,
- AppSec, bezpieczeństwo i dziury w aplikacjach,
- Pwnage, omijanie zabezpieczeń.
Prelegenci, którzy wystąpią na konferencji to m.in. : John “Captain Crunch” Draper, Gregor Kopf, Ashar Javed, Alexey Sintsov, Luiz Eduardo, Luiz Eduardo, Zane Lackey, Raoul Chiesa i wielu innych.
Szczegóły dotyczące agendy znajdują się na stronie: [1]
Jak zawsze na konferencji pojawią się panele dyskusyjne prowadzone przez światowej klasy specjalistów, m.in. panel „Bezpieczna aplikacja webowa - czy to możliwe?” prowadzony przez Mario Heiderich oraz Garetha Hayes.
Uruchomiliśmy również warsztaty, które odbywać się będą przed, jak i po konferencji. Dla zainteresowanych, jako pierwsze w kolejności proponujemy warsztaty organizowane przez Compendium. Zakończ CONFidence 2012 z oficjalnym certyfikatem ISECOM w pakiecie z egzaminem wieńczącym szkolenia.
Ciekawym dodatkiem do głównych prezentacji będą również prezentacje w ramach Lightning Talks. Krótkie 5-minutowe wystąpienia uczestników konferencji podczas przerw między wykładami docelowymi. Tematy zahaczają zarówno ciekawe projekty, wyniki badań, intrygujące hobby czy dowolne wątki, które Waszym zdaniem mogą zainteresować publiczność. Każdy uczestnik ma możliwość zgłoszenia swojego tematu w ramach wolnych miejsc.
Elementem całkowicie innowacyjnym i kreatywnym będzie zabawa pod nazwą X-traction Point, które debiutuje na tegorocznym CONFidence. Uczestnicy będą mogli sprawdzić swoje umiejętności z zakresu lockpickingu, wiedzy o alarmach, detektorach ruchu i dźwięku oraz podstawowej wiedzy hackowania. A to wszystko podczas zadania infiltracji bunkra i uratowania zakładnika! Wszystko na żywo i z poglądem z kamer. Zapowiada się niezapomniany turniej!
To i wiele wiele innych atrakcji już 23- 24 maja w Krakowie! CONFidence 2012 - bądź przygotowany na prawdziwe wyzwania!
Kod rabatowy dla osób rejestrujących się via OWASP: 2012-owasp 15% zniżki na opłatę konferencyjną.
ENG
CONFidence gaining momentum, so get ready for two days filled with lectures and extreme attractions! The presentations will be divided into four theme groups (2 each day) with more than 30 speakers, unpublished materials, workshops and a special X-traction point game, which is something you haven't seen before!
Schedule template contains four separate thematic tracks: -WebSec – Web application Security
-Cross-Layer – Communication protocols, Servers, Applications, Misc
-AppSec – Security and Application Flaws
-Pwnage – Bypassing the security systems, hacking technologies
Some of the speakers at the conference include John "Captain Crunch" Draper, Gregor Kopf, Ashar Javed, Alexey Sintsov, Eduardo Luiz, Luiz Eduardo, Zane Lackey, Raoul Chiesa and many more.
Details of the schedule can be found at: [2]
As always at the conference there will be discussion panels led by world-class experts, including, "Secure Web application - is it possible?" panel led by Mario Heiderich and Gareth Hayes.
There will also be additional workshops before and/or after the conference, inlucing a special workshop prepared by Compendium, where you can prepare for and obtaining an ISECOM certificate.
Apart from the normal presentations, there will be special Ligtning Talks track spread over two days. Attendees will be able to perform short, 5 minutes long presentations, covering all range of topics ranging from their projects, research results to even some specific hobbies. Every conference attendee has a possibility to submit a topic for as long as there are free slots for the talks.
For the very first time, we will deploy an X-traction Point contest, where attendees will be given a possibility to test their skills in lockpicking, knowledge about alarm systems, motion and sound detectors along with basic hacking skills. They will have to use their knowledge in a live bunker infiltration, get behind the security systems, pass the guards and save a prisoner. All that live streamed for the audience. This will be spectacular!
Prepare for all that during the CONFidence 2012, which will be held in Krakow on 23-24th of May.
15% discount, when registering via OWASP, use this code during registration: 2012-owasp
Więcej na stronie konferencji.
KrakYourNet
W ramach tegorocznej edycji KrakYourNet (14 - 21.04) an AGH w Krakowie Wojciech Dworakowski zaprezentował dokumenty i narzędzia rozwijane w ramach działalności OWASP. Prezentację można pobrać tutaj.
Więcej informacji na temat wykładu tutaj.
21. March 2012
Zapraszamy wszystkich zainteresowanych na spotkanie OWASP Poland Local Chapter, poświęcone tematyce bezpieczeństwa aplikacji webowych.
Czas
21 marca 2012, 18.00 - 20.00
Miejsce
Krakowski Park Techniologiczny (Al. Jana Pawła II 41 L), sala konferencyjna na III piętrze.
Lokalizacja na mapie. Dojazd liniami: 4, 10, 15,40 - przystanek "AWF".
Wstęp wolny. Prosimy o potwierdzenie uczestnictwa.
Streaming
Tak jak poprzednim razem będzie możliwość zdalnego uczestnictwa za pomocą GoToMeeting (Meeting ID: 759-783-526): link
Uwaga: Wymagana instalacja oprogramowania GoToMeeting. Ilość uczestników on-line jest ograniczona (25 połączeń).
Agenda
Analiza statyczna języka PHP
Mateusz Kocielski, LogicalTrust
18.00 - 19.15
Abstrakt:
Analiza statyczna jest jedną z metod wyszukiwania błędów oraz poprawiania jakości oprogramowania.
Zaczynając od historii i podstaw teoretycznych, a kończąc na praktycznych aspektach i zero dayach,
dowiemy się jak wykorzystać wszystkie jej dobrodziejstwa na przykładzie języka php.
Wykład przeznaczony jest dla wszystkich, którzy mają jakikolwiek związek z wytwarzania oprogramowania.
- 19.15 - 19.30 Przerwa / networking
Web Application Firewall 101
Przemysław Skowron
19.30 - 20.00
Abstrakt:
Web Application Firewall to kolejna (czasem jedyna!) warstwa
bezpieczeństwa w środowisku pracy aplikacji webowych. Pozwala na
monitoring i ochronę aplikacji. Może służyć jako "Strażak" w czasie
pożaru i często stosowany jest tylko do tego. W "kwadrans" postaram
się przybliżyć: czym jest WAF, w jakich architekturach możemy go
wdrożyć, jakie mamy WAFy na rynku, jak wybrać ten najlepszy dla nas, w
jakich trybach działa, w oparciu o co może reagować, jak się ma WAF do
OWASP Top10 i czym jest OWASP CRS.
Meeting Supporter
Sponsorem spotkania jest firma .
SEMAFOR 2012
We have the pleasure to inform You that on February 23-24, 2012, the SEMAFOR (Security, Management, Audit Forum) conference will take place in Warsaw. The conference is held by ISSA Poland, ISACA Warsaw Chapter and the Computerworld with active support of OWASP Poland. OWASP members have 10% of discount for this event.
For more information about SEMAFOR 2012, please visit: https://issa.org.pl/semafor-2012.html
18. January 2012
We're meeting in Krakow on 18. January 2012 in Krakow Technology Park (Czyżyny) (Al. Jana Pawła II 41 L) at 6pm, conference hall on 3rd floor. This meeting is organized jointly by ISSA Poland. Please confirm Your attendance here.
Agenda:
- OWASP news.
- No Man's Land - Vulnerabilities in J2EE frameworks and libraries - Sławomir Jasek, SecuRing.
- Defending ASP.Net apps against XSS. - Mateusz Olejarka, VSoft S.A.
- Bad coding with Ruby on Rails - Paweł Krawczyk, AON.
Streszczenia:
Ziemia niczyja - czyli podatności we frameworkach i bibliotekach J2EE.
Sławomir Jasek (SecuRing)
Podatności obecne w aplikacjach mogą wynikać z błędów popełnionych
przez programistów, ale także ze słabości istniejących w zastosowanych
frameworkach i bibliotekach.
Z mojego doświadczenia wynika, że ten drugi aspekt jest często pomijany przy projektowaniu bezpieczeństwa aplikacji a także w trakcie utrzymania aplikacji (uaktualniane jest oprogramowanie serwerowe ale nie biblioteki wchodzące w skład aplikacji).
Prezentacja ma na celu naświetlenie tego problemu przez pokazanie przykładów ciekawych, a jednocześnie łatwych do przeoczenia podatności, występujących w popularnych bibliotekach/frameworkach J2EE takich jak Struts, Spring MVC.
Obrona aplikacji webowej ASP.Net: XSS
Mateusz Olejarka (VSoft)
Prezentacja ma celu zarysować dość szeroką tematykę zwiazaną z XSS'em. Na początku pojawi się kilka pojęć i faktów dotyczących XSS, w głównej części omówimy
sobie możliwości jakie mamy, aby zabezpieczyć naszą aplikację, m.in: mechanizm Request Validation, HttpUtility, AntiXSS.
Popularne błędy w aplikacjach Ruby on Rails
Paweł Krawczyk (IPSec.pl)
Ruby on Rails uchodzi za framework ułatwiający pisanie bezpiecznych
aplikacji - i takim jest w istocie.
Nie znaczy to jednak, że samo RoR w magiczny sposób naprawi dziury wynikające z braku dbałości o bezpieczeństwo.
W prezentacji pokażę typowe błędy popełniane przez programistów RoR oraz narzędzia, które umożliwiają wyłapanie większości z nich w półautomatyczny sposób.
2011
15. December 2011
Zaproszenie na kolejne spotkanie OWASP w Warszawie / Invitation for
the next OWASP meeting in Warsaw
Tym razem prezentacje beda w języku angielskim / This time the
presentations will be in English
Data i miejsce spotkania / Date and place of the meeting:
15 grudzien 2011 / 15 December 2011 Ernst & Young Rondo ONZ 1, Warszawa Sala: 14-40 (piętro 14) 18:00-20:00
Prosba o potwierdzenie uczestnictwa do: [email protected] /
Please confirm your attendance to: [email protected]
Agenda:
- 18:00 - 18:15 - Otwarcie spotkania, aktualnosci OWASP Polska / Meeting Opening, OWASP Poland News
- 18:15 - 19:00 - "The agile approach to PCI DSS implementation in SDLC area" - Jakub Syta, IMMUSEC
- 19:00 - 19:45 - "Ground BeEF: Cutting, devouring and digesting the legs off a browser" - Michele Orru' a.k.a. antisnatchor, Royal Bank of Scotland
- 19:45 - 20:00 - Kwestie dodatkowe, zamkniecie spotkania / Additional Topics, Meeting Closure
Więcej informacji o prelegentach / More information about the presenters:
Jakub Syta, IMMUSEC
Ekspert w zarzadzaniu bezpieczenstwem informacji i ciagloscia
dzialania, zdobyl doswiadczenie w szeregu zagadnien z zakresu ochrony
fizycznej oraz przeciwdzialania naduzyciom. Ostatnie lata spedzil
kierujac dzialem bezpieczenstwa w jednym z najwiekszych swiatowych
bankow bedac odpowiedzialnym za dostarczanie uslug bezpieczenstwa dla
kilku krajow. Od 2010 jest wspolnikiem w spolce doradczej IMMUSEC.
Prelegent na krajowych i miedzynarodowych konferencjach, doswiadczony
wykladowca. Ekspert w Podkomitecie ds. ISMS przy KT 182 w Polskim
Komitecie Normalizacyjnym, byly czlonek zarzadu ISACA Polska,
doktorant na Wydziale Zarzadzania Politechniki Warszawskiej. Jest
audytorem wiodacym ISO 27001 i ISO 9001, legitymuje sie certyfikatami
takimi jak CISA, CISSP, CRICS, ITIL Foundation.
Michele Orru', Royal Bank of Scotland
Michele Orru' a.k.a. antisnatchor is an IT and ITalian security guy
who works as a Penetration Tester for The Royal Bank of Scotland Group
in Warsaw, Poland. He mainly focus his research on web application
security. Besides his nasty passion about black, gray, white hat
hacking and BeEF (being an active committer since the Ruby port
started), he enjoys to leave alone his Mac while fishing on salted
water and preys for Kubrick resurrection.
23. November 2011 - Cracow
We're meeting in Krakow on 23. November 2011 in Krakow Technology Park (Czyżyny) (Al. Jana Pawła II 41 L) at 6pm, conference hall on 3rd floor. This meeting is organized jointly by ISSA Poland.
Agenda:
- OWASP News
- Selected vulnerabilities in web management consoles of network devices - Michał Sajdak, Securitum
- Groundbreaking OWASP tools for developers. Brief introduction to OWASP ESAPI and AppSensor- Wojciech Dworakowski, SecuRing
- CouchDB security - Paweł Krawczyk
Meeting supporter for this event is , which will provide delicious cupcakes and coffee :).
3 rd SASMA & LIQUIDNEXXUS Business Security Conference
On 17. November 2011- Warsaw during 3 rd SASMA & LIQUIDNEXXUS Business Security Conference Mateusz Olejarka will be speaking about Application Security Threats and OWASP TOP 10.
More details here.
OWASP & ISACA Katowice Chapter-in-formation
On 20. October in Cracow University of Economics during ISACA Katowice Chapter-in-formation meeting Wojciech Dworakowski will be speaking about OWASP and Web Application Security.
More information: http://isaca.katowice.pl/spotkania.html
OWASP Poland Partnership during Secure 2011
Secure 2011 is international conference on telecommunications and IT security organized by CERT Poland on 24-26 October 2011 in Warsaw.
More information: http://secure.edu.pl/
27. September 2011 - Warsaw
We're meeting in Warsaw on 27. September 2011 in Ernst & Young (Rondo ONZ 1, Warszawa, room 14-40, floor 14). Please confirm your attendance by sending email to [email protected] as amount of places is limited. Agenda:
- 18:00 - 18:15 - Otwarcie spotkania, aktualności OWASP Polska
- 18:15 - 19:00 - "Bezpieczeństwo aplikacji mobilnych" - Aleksander Ludynia, Ernst & Young
Aleksander jest Konsultantem w Dziale Zarządzania Ryzykiem Informatycznym w Ernst & Young odpowiedzialnym za realizację projektów związanych z bezpieczeństwem systemów informatycznych. Specjalizuje się w testach penetracyjnych aplikacji internetowych oraz przeglądach bezpieczeństwa.
Abstrakt: Skala i charakter wykorzystania aplikacji mobilnych zmieniają się w bardzo dynamicznym tempie. Równolegle rozwija się działalność przestępców komputerowych, prowadzących różnego rodzaju ataki, których celem są urządzenia przenośne. Podczas prezentacji zostanie omówiona sytuacja na rynku aplikacji mobilnych, a także zagrożenia związane z ich wykorzystaniem. Ponadto, omówione zostaną podstawowe techniki wykorzystywane podczas testów penetracyjnych tego typu aplikacji. Prezentacja będzie wstępem do szerszej dyskusji dotyczącej zagadnieńzwiązanych z bezpieczeństwem aplikacji mobilnych.
- 19:00 - 19:45 - "Zarządzanie sesją w aplikacjach internetowych" - Sławomir Rozbicki, PKO BP
Sławek jest specjalistą w zespole Bezpieczeństwa Internetowego i Telekomunikacyjnego Banku PKO BP. Do jego obowiązków należy głównie wykonywanie testów penetracyjnych aplikacji internetowych, infrastruktury teleinformatycznej oraz bieżący monitoring incydentów bezpieczeństwa.
Abstrakt: Mechanizmy zarządzania sesją aplikacji internetowych mają znaczący wpływ na ich bezpieczeństwo. Pomimo to niedocenianie ryzyka związanego z ich nieprawidłową implementacją wydaje się być częstą praktyką. Zawarte w prezentacji materiały mają za zadanie zwrócić uwagę na podstawowe wektory ataku oraz ułatwić ocenę podatności poszczególnych elementów sesji na ataki. Przedstawione przykłady pokazują jak nawet najsilniejsze mechanizmy uwierzytelnienia mogą zostać ominięte, w przypadku wykorzystania słabości związanych z nieprawidłową obsługą sesji.
- 19:45 - 20:00 - Kwestie dodatkowe, zamknięcie spotkania
- Download :
14. September 2011 - Krakow
We're meeting in Krakow on 14. September 2011 in Krakow Technology Park (Czyżyny) (Al. Jana Pawła II 41 L) at 6pm, conference hall on 3rd floor. Note date change to 14. September (previously announced date was 13. September).
Google Maps link.
Agenda:
- OWASP news
- Uczący się firewall webowy - nowy polski projekt (Marek Zachara, AGH). Streszczenie:
Inteligentne systemy, analizujące i dopasowujące się do wzorców zachowań użytkowników zdobywają kolejne pola zastosowań. W trakcie wykładu zostanie zaprezentowane wykorzystanie takich metod do tworzenia samo-uczącego się firewalla aplikacyjnego (ang. Learning Web Application Firewall). LWAF potrafi (na podstawie analizy ruchu) stworzyć oczekiwane wzorce przychodzących danych - a co za tym idzie, zidentyfikować nietypowe zachowania użytkowników - i ochronić w ten sposób aplikację przed próbami ataku. Wyniki działania takiego firewall-a, a także podstawowa analiza teoretyczna zostanie zaprezentowana na bazie przygotowanej przez autorów implementacji tej techniki w formie modułu do serwera Apache.
Download paper: Learning Web Application Firewall - Benefits and Caveats, slides: File:LWAF.pptx
Intelligent systems that process and analyze patterns in human behavior have been gaining traction in various fields of use. During the lecture, we will present a Learning Application Firewall (LWAF) which utilizes such methods to analyze the traffic patterns, constructs expected data patterns and can protect the application from harmful attack attempts. Resluts from experiments, as well as theoretical background will be presented based on the reference implementation of the LWAF as Apache module, prepared by the authors
- HTML5 - Something wicked this way comes (Krzysztof Kotowicz, SecuRing) Streszczenie:
HTML5 to ulubieniec współczesnych przeglądarek i webdeveloperów, ale może zostać również wykorzystany w złych celach. Przedstawimy najnowsze metody ataków na aplikacje internetowe z wykorzystaniem HTML5 oraz różnych technik UI redressing, a także sposoby ukrycia ataku w mechanizmach gry online. Zobaczycie demonstracje rzeczywistych ataków na popularne serwisy internetowe z wykorzystaniem opisanych metod.Download: File:Html5-something wicked this way comes owasp.pdf
HTML5 is a favorite of modern browsers and web developers. Likewise, it can used for evil purposes. We will cover new attacks on web applications, which use HTML5 and UI redressing techniques and ways to cover it up in an online game logic. We shall see the demos of real attacks on popular web sites which includes described methods.
Generally - all lectures are in Polish. If you would like to attend and do not know Polish, please contact meeting coordinator.
This meeting is organized jointly by ISSA Poland. Questions or issues? Contact meeting coordinator Wojtek Dworakowski +48-506-184550.
If you would like to make a presentation, or have any questions about the Poland Chapter, send an email to Chapter Leader or any Chapter Board member.
30. June 2011 - Warsaw, ISSA InfoTRAMS
All OWASP Poland, ISSA Poland and CISSP holders are entitled to free entry to InfoTRAMS conference that will be held at TPSA conference venue Twarda street 18 in Warsaw.
23. May 2011 - Krakow
23. May 2011 in Krakow Technology Park (Czyżyny) at 6pm, conference hall on 3rd floor.
Two research topics were presented (both in Polish):
- OWASP news, KPT introduction
- Minerva - automatic vulnerability scanning (Mateusz Kocielski)
- Why care about application security? (Paweł Krawczyk)
OWASP Partnership during CONFidence 2011
CONFidence is an annual IT security conference that will take place on 24-25th May, 2011 in Krakow, Poland for the 9th time!
More information: http://2011.confidence.org.pl/
OWASP Partnership during Banking Forum 11-12th May 2011
Banking Forum is a major event organized for managers of polish financial institutions.
OWASP Poland Chapter was Partnership of this event and our representatives took part in panel discussions about security of financial applications and security in software development lifecycle.
On 24th March 2011 - Krakow
6:15pm - 6:30pm ... "OWASP News" - Przemyslaw Skowron, OWASP Leader
6:30pm - 7:00pm ... "Source Code Scanners" - Pawel Krawczyk http://www.slideshare.net/kravietz/source-code-scanners
7:00pm - 8:00pm ... "Penetration testing - panel discussion"
On 27th January 2011 - Warsaw
6:00pm - 6:40pm ... "OWASP News" - Przemyslaw Skowron, OWASP Leader
6:45pm - 7:20pm ... "Cross-Site Scripting" - Michal Kurek, Ernst&Young
7:25pm - 8:00pm ... "Phishing" - Tomasz Sawiak, Safe Computing
On 20th January 2011 - Krakow
6:15pm - 6:25pm ... "OWASP News" - Przemysław Skowron, OWASP Leader
6:30pm - 7:10pm ... "Advanced Data mining" - Jakub Kaluzny
7:15pm - 8:00pm ... "OWASP ASVS - panel discussion" - Wojciech Dworakowski, Securing
2010
OWASP Partnership during seminar InfoTRAMS - Privacy at work
9th of December 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.
More information: http://issa.org.pl/2010-12-09/prywatno%C5%9B%C4%87-w-pracy-infotrams-warszawa.html
OWASP Poland Partnership during Secure 2010
25-27th of October 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.
More information: http://secure.edu.pl/
OWASP Partnership during seminar InfoTRAMS - Cloud computing
30th of June 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.
More information: http://www.issa.org.pl/content/view/129/1/
On 10th June 2010
6:00pm - 6:15pm ... "OWASP News" - Przemyslaw Skowron /PL/ - Slides
6:15pm - 7:10pm ... "Creating, obfuscating and analysis of JavaScript-based malware." - Krzysztof Kotowicz /PL/ - Slides | Video
7:15pm - 8:00pm ... "Network Forensic: what captured packets say" - Paweł Goleń /PL/ - Slides | Video
OWASP Partnership during KrakSpot Tech #1
8th of June 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership.
More information: http://krakspot.pl/2010/05/29/krakspot-tech-agenda/
OWASP Partnership during CONFidence 2010
25-26th of May 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership.
More information: http://2010.confidence.org.pl/
On 13th May 2010
6:05pm - 7:00pm ... "Drive-by download attacks" - Filip Palian /PL/ - Slides | Video
7:05pm - 7:50pm ... "Detection and analysis of malicious web sites" - Łukasz Juszczyk /PL/ - Slides | Extra#1 | Extra#2 | Video
OWASP Partnership during SEConference 2010
9-10th of April 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership.
During meetings there will be a few talks dedicated the OWASP Projects.
More information: http://www.2k10.seconference.pl/docs/
On 17th March 2010
6.10pm - 6.50pm ... "Workshop: CISSP - Telecommunications and Network Security" - Julia Juraszek, ISSA Polska, Polkomtel S.A.
7.00pm - 7.40pm ... "OWASP - Incident handling: Web Application Attacks" - Przemyslaw Skowron, OWASP Poland /PL/ - Slides
On 10th March 2010
5:00pm - 5:05pm ... "OWASP News" - Przemyslaw Skowron /PL/ - Slides
5:05pm - 6:10pm ... "SQL Injection: complete walktrough (not only) for PHP developers" - Krzysztof Kotowicz /PL/ - Slides | Video
6:15pm - 7:20pm ... "Secure PHP framework" - Łukasz Pilorz /PL/ - Slides | Video
OWASP Poland Partnership during SEMAFOR 2010
26-27th of January 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.
During meetings there will be a few talks dedicated the OWASP Projects.
More information: http://konferencje.computerworld.pl/konferencje/semafor2010/zagadnienia.html
On 14th January 2010
6:20pm - 6:30pm ... "OWASP News" - Przemyslaw Skowron
6:30pm - 7:15pm ... "Fuzzing" - Piotr Laskawiec /PL/ - Slides, /EN/ - Slides
7:15pm - 8:00pm ... "Security in Software Development Life Cycle" - Wojtek Dworakowski /PL/ - Slides
2009
On 10th December 2009
6:30pm - 6:45pm ... "OWASP News" - Andrzej Targosz, Przemyslaw Skowron
6:50pm - 7:25pm ... "OWASP Top 10 2010" - Przemyslaw Skowron /PL/ - OWASP_Top10_2010-RC1-PL by Michał Wiczyński
7:30pm - 8:10pm ... "Real Life Information Security" - Pawel Krawczyk /EN/ - Slides
On 12th February 2009
6:00pm - 6:30pm ... "OWASP News" - Andrzej Targosz
6:30pm - 7:30pm ... "Blind SQL Injections" - Jacek Wlodarczyk /PL/ - Slides
7:30pm - 9:30pm ... OWASP UNConference
2008
On 11th December 2008
6:00pm - 7:00pm ... "Hack tool Firefox" - Filip Palian
7:00pm - 8:15pm ... "OWASP where we were, where we are now, and where we are going..." - Andrzej Targosz
On 23th October 2008
6:15pm - 7:10pm ... "Wargame @ Confidence/OWASP EU 2008 vs. OWASP Testing Guide" - Przemysław Skowron /PL/ - Slides , MindMap
7:15pm - 8:10pm ... "Intrusion detection for web applications" - Łukasz Pilorz /EN/ - Slides
8:15pm - 9:10pm ... "Session management for Web Application" - Paweł Goleń /PL/ - Slides
On 25th April 2008
5:15pm - 5:30pm ... "OWASP News" - Andrzej Targosz
5:30pm - 5:45pm ... "Short introduction to WarGame - CONFidence & OWASP EU" - Przemyslaw 'rezos' Skowron
5:45pm - 6:45pm ... "Introduction to Web Applications Security" - Filip Palian
OWASP Partnership during QAFA and TMS
7-8th of April 2008 there will be two interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership:
- TMS - "Test Management Summit"
- QAFA - "Quality for Financial Applications"
During meetings there will be special talk about OWASP Testing metodology.
http://www.bettersoftware.eu/archive/QAFA-TMS/
2007
On 06th September 2007
6:00pm - 7:00pm ... "OWASP" - Robert 'shadow' Pajak
7:00pm - 8:00pm ... "OWASP SPoC" - Przemyslaw 'rezos' Skowron
8:00pm - 9:00pm ... "Penetration tests OWASP in practice" - Jarek Sajko
Presentation
- Presentation: OWASP Intro By Robert 'Shadow' Pajak - Slides
- Presentation: OWASP SPoC By Przemyslaw 'rezos' Skowron - Slides
- Presentation: Penetration tests OWASP in practice By Jarek Sajko - Slides
On 19th April 2007
5:30pm - 6:30pm ... "Application security testing - attack trends" - Przemyslaw Skowron
6:30pm - 7:30pm ... Auditor work standards
7:30pm - 7:45pm ... OWASP Inauguration
You could join free, registration not required. Please invite all friends interested in security.