This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "OWASP German Chapter Stammtisch Initiative/Stuttgart"

From OWASP
Jump to: navigation, search
(Stammtisch Stuttgart Termin 17. Juli 2017)
(Stuttgart: nächster Termin 18. September 2017)
Line 20: Line 20:
 
'''Termine:'''  
 
'''Termine:'''  
  
*'''nächster Termin 17. Juli 2017'''  
+
*'''nächster Termin 18. September 2017'''  
  
 
BITTE SCHREIBT, wenn Ihr einen Vortrag habet oder ein Wunschthema
 
BITTE SCHREIBT, wenn Ihr einen Vortrag habet oder ein Wunschthema
Line 26: Line 26:
 
:Programm:  
 
:Programm:  
 
:*19.30h Vorstellungsrunde, Essensbestellung
 
:*19.30h Vorstellungsrunde, Essensbestellung
:*20.00h Vortrag "Sicher in die Cloud mit Angular und Spring Boot" Single Page Applications auf Basis von Angular in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt. Im Zeitalter der Cloud und mithilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht. Doch wie steht es um die Sicherheit derartiger Anwendungen?  Dieser Vortrag zeigt aus der Praxis eines IoT-Projekts, auf welche Aspekte es wirklich ankommt, um eine sichere Anwendung in die Cloud zu bringen. Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer APIs in Angular) sowie automatisierte Securitytests der RESTful Services im Backend. Abschließend wird Security in der Cloud betrachtet.  Referent Andreas Falk arbeitet seit mehr als zwanzig Jahren im Enterprise-Java-Umfeld und ist seit fünf Jahren als Managing Consultant tätig. In verschiedenen Projekten ist er seither als Berater, Architekt, Coach, Entwickler und Tester unterwegs. Seine Schwerpunkte liegen auf der agilen Entwicklung mit Java EE und der Spring-Cloud-Plattform. Darüber hinaus beschäftigt er sich als OWASP-Mitglied mit der Anwendungssicherheit
+
:*20.00h Vortrag "Automatisierte Erstellung von Penetrationstestberichten mit Schwachstellenkategorisierung gemäß des CWE-Formats" Anton Antonov
 +
: Herr Antonov hat im Juli 2017 sein Bachelor-Studium im Studiengang "Medieninformatik" an der Hochschule der Medien in Stuttgart abgeschlossen. In seinem Vortrag berichtet er über die Ergebnisse seiner Bachelorarbeit, die er in der IT-Sicherheitsfirma Ungeheuer-IT UG (haftungsbeschränkt) unter Betreuung des Geschäftsführers Herrn Patrick Ungeheuer und Herrn Prof. Dr. Dirk Heuzeroth von der Hochschule der Medien durchgeführt hat. In seiner Bachelorarbeit hat Herr Antonov Anforderungen an Tools zur Erstellung von Penetrationstestberichten ermittelt und verschiedene Tools (MagicTree, Dradis, Serpico und einen Prototypen der Firma Ungeheuer-IT) in Bezug auf diese Anforderungen hin untersucht. Eine wesentliche Anforderung war die Kategorisierung von Schwachstellen, welche derzeit jedoch keines der bestehenden Tools zufriedenstellend bietet. Aus diesem Grund hat Herr Antonov das Tool Serpico, welches die meisten der sonstigen Anforderungen erfüllen konnte, um die Kategorisierung von Schwachstellen unter Verwendung der Common Weakness Enumeration (CWE) erweitert. In seinem Vortrag führt er auch das Tool Serpico inkl. dieser Erweiterung vor.
  
 
----
 
----
  
 
'''Rückblick '''<br>  
 
'''Rückblick '''<br>  
 +
* 17.07.2017 24. OWASP German Chapter Stammtisch Stuttgart mit Vortrag "Sicher in die Cloud mit Angular und Spring Boot" (Andreas Falk )
 
* 06.03.2017 23. OWASP German Chapter Stammtisch Stuttgart mit Vortrag "Burp Suite - Teil 1: Der Intruder" [[:File:Workshop Burp - Teil 1 - Intruder - OWASP Stammtisch Stuttgart 2016-03-06.pdf|Folien]] (Simon Bieber)
 
* 06.03.2017 23. OWASP German Chapter Stammtisch Stuttgart mit Vortrag "Burp Suite - Teil 1: Der Intruder" [[:File:Workshop Burp - Teil 1 - Intruder - OWASP Stammtisch Stuttgart 2016-03-06.pdf|Folien]] (Simon Bieber)
 
* 19.09.2016 23. OWASP German Chapter Stammtisch Stuttgart mit Vortrag "Doomed 4.0 - Unser Versagen als Sicherheitsexperten?"" (Tobias Glemser)
 
* 19.09.2016 23. OWASP German Chapter Stammtisch Stuttgart mit Vortrag "Doomed 4.0 - Unser Versagen als Sicherheitsexperten?"" (Tobias Glemser)

Revision as of 11:19, 16 August 2017


Stuttgart

Der Stammtisch findet - einen Vortragenden vorausgesetzt - jeden ersten Montag jeden zweiten Monat statt.

Wir treffen uns jeweils um 19.30 Uhr im shackspace, Ulmer Straße 255, 70327 Stuttgart. U-Bahn Haltestelle "Im Degen" - U4, U9. Parkplätze sind an der Straße am shackspace vorhanden. Die Parkplätze vor dem Eingang sind privat! Der Eingang ist auf diesem Bild (da wo der Typ eine raucht) schön zu erkennen :)

Zu jedem Termin wird ein Vortrag zum Besten gegeben, Wünsche jederzeit gerne. Um vorhergehende Anmeldung (siehe Link beim aktuellen Termin) wird gebeten, wer das verschwitzt darf aber natürlich auch kommen. Bei Fragen zum Stammtisch einfach kurz anschreiben.

Der Stammtisch wird hier, auf der Seite des shackspace, als MeetUp über die OWASP-Germany Mailingliste und Xing (einfach mit mir verknüpfen) angekündigt.

Wir freuen uns auf Euer Kommen!

Tobias ([email protected])


Termine:

  • nächster Termin 18. September 2017

BITTE SCHREIBT, wenn Ihr einen Vortrag habet oder ein Wunschthema

Programm:
  • 19.30h Vorstellungsrunde, Essensbestellung
  • 20.00h Vortrag "Automatisierte Erstellung von Penetrationstestberichten mit Schwachstellenkategorisierung gemäß des CWE-Formats" Anton Antonov
Herr Antonov hat im Juli 2017 sein Bachelor-Studium im Studiengang "Medieninformatik" an der Hochschule der Medien in Stuttgart abgeschlossen. In seinem Vortrag berichtet er über die Ergebnisse seiner Bachelorarbeit, die er in der IT-Sicherheitsfirma Ungeheuer-IT UG (haftungsbeschränkt) unter Betreuung des Geschäftsführers Herrn Patrick Ungeheuer und Herrn Prof. Dr. Dirk Heuzeroth von der Hochschule der Medien durchgeführt hat. In seiner Bachelorarbeit hat Herr Antonov Anforderungen an Tools zur Erstellung von Penetrationstestberichten ermittelt und verschiedene Tools (MagicTree, Dradis, Serpico und einen Prototypen der Firma Ungeheuer-IT) in Bezug auf diese Anforderungen hin untersucht. Eine wesentliche Anforderung war die Kategorisierung von Schwachstellen, welche derzeit jedoch keines der bestehenden Tools zufriedenstellend bietet. Aus diesem Grund hat Herr Antonov das Tool Serpico, welches die meisten der sonstigen Anforderungen erfüllen konnte, um die Kategorisierung von Schwachstellen unter Verwendung der Common Weakness Enumeration (CWE) erweitert. In seinem Vortrag führt er auch das Tool Serpico inkl. dieser Erweiterung vor.

Rückblick

  • 17.07.2017 24. OWASP German Chapter Stammtisch Stuttgart mit Vortrag "Sicher in die Cloud mit Angular und Spring Boot" (Andreas Falk )
  • 06.03.2017 23. OWASP German Chapter Stammtisch Stuttgart mit Vortrag "Burp Suite - Teil 1: Der Intruder" Folien (Simon Bieber)
  • 19.09.2016 23. OWASP German Chapter Stammtisch Stuttgart mit Vortrag "Doomed 4.0 - Unser Versagen als Sicherheitsexperten?"" (Tobias Glemser)
  • 07.03.16 22. OWASP German Chapter Stammtisch Stuttgart mit Vortrag "Ein lustiger Jahresrückblick: Die kuriosesten und spannendsten Webapp-Security-Funde eines IT-Sicherheitsunternehmens." (Christoph Ritter)
  • 03.08.15 21. OWASP German Chapter Stammtisch Stuttgart mit Vortrag "Security Testing im agilen Umfeld" Folien (Andreas Falk)
  • 03.11.14 20. OWASP German Chapter Stammtisch Stuttgart mit Vortrag "Wissenswertes über Kekse" (Jan Wolff)
  • 01.09.14 19. OWASP German Chapter Stammtisch Stuttgart mit Lightning Talk ASVS 2.0 (Simon Bieber)
  • 07.07.14 18. OWASP German Chapter Stammtisch Stuttgart mit Vortrag Pragmatische Java-Web-Security (Dominik Schadow)
  • 05.05.14 17. OWASP German Chapter Stammtisch Stuttgart mit Vortrag Memory Forensik (Christoph Ritter)
  • 08.04.2013. 16. OWASP German Chapter Stammtisch Stuttgart mit Lightning Talk: Content Security Policy (Simon Bieber), Folien
  • 02.02.2013. 15. OWASP German Chapter Stammtisch Stuttgart mit Diskussion über CSRF Best-Practices
  • 02.07.2012. 14. OWASP German Chapter Stammtisch Stuttgart
  • 07.05.2012. 13. OWASP German Chapter Stammtisch Stuttgart
  • 05.03.2012. 12. OWASP German Chapter Stammtisch Stuttgart
Vorstellung Risk Measurement Modelle
  • 21.11.2011. 11. OWASP German Chapter Stammtisch Stuttgart
Diskussion über it-sa 2011, Ideen für neue Vorträge gesammelt
  • 01.08.2011. 10. OWASP German Chapter Stammtisch Stuttgart
Vortrag "Neuerungen in Burp Pro 1.4", Michael Schäfer (Schutzwerk GmbH). Bilder von der Riesenjubiläumsparty im Anschluss müssen leider unter Verschluss gehalten werden. "What happens at Stammtisch, stays at Stammtisch". Achja: Grüße an die Vegas-Reisenden unter uns, die deswegen die Sause verpasst haben :)
  • 06.06.2011. 9. OWASP German Chapter Stammtisch Stuttgart
Kurzfristige Absagen (unter anderem des Referenten) taten der Stimmung keinen Abbruch. Sehr interessante Diskussionen über Passwortsicherheit, RSA Token Security und anderes.
  • 04.04.2011. 8. OWASP German Chapter Stammtisch Stuttgart
Der bestbesuchteste Stuttgarter Stammtisch bisher. Die insgesamt 13 Teilnehmer diskutierten über den Vortrag von Frank Dölitzscher (Hochschule Furtwangen) zu einem Cloud-Frontend mit Single-Sign-On Anbindung und SSH-Key Erstellung File:2011-04-04 CloudIA WebGUI OWASP Stammtisch Stuttgart.pdf interessiert zu. Insbesondere wurden mögliche Schwachstellen der Implementierung der Lösung und des Java-Client zur SSH-Key Erstellung besprochen. Für beide Seiten ein Gewinn :)
Antworten von Frank bzgl. der offenen Fragen:
"- In der Version des Shibb-Idp den wir verwenden ist ein zwingender Restart beim Einlesen einer neuen Config notwendig. Die Konfiguration ist dateibasiert und gliedert sich in 3 Dateien:
a) Relying Party - regelt Förderation (Verweis auf MetaData)
b) MeTaData - Beinhaltet alle SPs mit Links darauf, Metadaten der einzelnen SP
c) AttributeFilter.xml - Regelt welche Userattribute werden einem SP nach erfolgreicher Autorisierung übermittelt
Die kritische Datei ist die AttributeFilter.xml.
In der aktuellsten Shibboleth Version sollte ein einfacher Reload der Konfigurationen auch prinzipiell möglich sein. Allerdings warnen die Entwickler vor einem Produktiveinsatz: "Caution Do NOT enable configuration reloading in a production environment unless you have a rigorous configuration testing process in place and used."
Siehe: https://wiki.shibboleth.net/confluence/display/SHIB2/IdPConfigConfig
Unser aktueller Idp wurde inzwischen auf einen größeren Server umgezogen. Ein Restart dauert nun etwa 25 Sekunden. Das ist zwar deutlich schneller als zuvor (1,5min) allerdings für das Cloud-Szenario immer noch nicht praktikabel.
Zur Erreichbarkeit der VMs untereinander: Die VMs akzeptieren nur Incoming Traffic vom Reverse-Proxy (SP)."
2011-04-04-owasp-stammtisch-stuttgart.jpg
  • 07.02.2011. 7. OWASP German Chapter Stammtisch Stuttgart
Kurzdiskussion: "Brauchen wir ein Security-Framework Verwaltungs-Protokoll?"
  • 08.11.2010. 6. OWASP German Chapter Stammtisch Stuttgart
Nanu, wieder kein Vortag, aber beschwert hat sich auch niemand :)
  • 06.09.2010. 5. OWASP German Chapter Stammtisch Stuttgart
Leider kein Vortrag, aber eine launige Runde. Wer schon immer wissen wollte was Globolis, Pferde und die Goonies mit IT-Security zu tun haben oder wie die Visitenkarte von Kevin Mitnick aussieht, der ist bei uns einfach genau richtig..
  • 07.06.2010. 4. OWASP German Chapter Stammtisch Stuttgart
Neuigkeiten vom Chapter Meeting im Mai 2010
Vorstellung und Erfahrungsberichte mit den kommerziellen Tools HP Webinspect (Andy Kurtz) und Acunetix (Tobias Glemser). Keine Folien da "Freestyle". Kurzfazit war: Beide Tools bilden ein ähnliches Featureset ab, um manuelles Testen kommt man niemals rum.
2010-06-07-owasp-stammtisch-stuttgart.jpg
  • 12.04.2010. 3. OWASP German Chapter Stammtisch Stuttgart
Vortrag "WATOBO - Web Application Toolbox" von Andreas Schmidt. Vorstellung eines selbst entwickeltes Werkzeugs (WATOBO - Web Application Toolbox) zur Überpruefung von Webapplikationen. Das Tool selbst ist unter der GNU Public License veröffentlicht und soll Sicherheitsspezialisten bei der Durchführung von semi-automatisierten Sicherheitsanalysen unterstützen.
  • 01.02.2010. 2. OWASP German Chapter Stammtisch Stuttgart
Vortrag Vorstellung OWASP Whitepaper von Tobias Glemser "Projektierung der Sicherheitsprüfung von Webanwendungen"
  • 30.11.2009. 1. OWASP German Chapter Stammtisch Stuttgart
Das erste Treffen diente dem Beschnuppern und gemeinsamen Pläne schmieden für die nächsten Male