This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "OWASP Germany 2008 Conference"
m (fixed link) |
|||
Line 44: | Line 44: | ||
|- | |- | ||
| style="width:10%; background:#7B8ABD" | 15:30-16:10 || style="width:40%; background:#FFDF80" align=left" | [[#Security-by-Design durch Einsatz von MVC | '''Security-by-Design durch Einsatz von MVC''']] | | style="width:10%; background:#7B8ABD" | 15:30-16:10 || style="width:40%; background:#FFDF80" align=left" | [[#Security-by-Design durch Einsatz von MVC | '''Security-by-Design durch Einsatz von MVC''']] | ||
− | ''Mirko Richter, SecureNet GmbH'' | + | ''Mirko Richter u. Matthias Rohr, SecureNet GmbH'' |
| style="width:40%; background:#a0c0e0 " align=left" | [[#Cross-Site Scripting Filter Evasion | '''Cross-Site Scripting Filter Evasion''']] | | style="width:40%; background:#a0c0e0 " align=left" | [[#Cross-Site Scripting Filter Evasion | '''Cross-Site Scripting Filter Evasion''']] | ||
''Alexios Fakos, n.runs AG'' | ''Alexios Fakos, n.runs AG'' | ||
Line 91: | Line 91: | ||
Es besteht die Möglichkeit zum Ausstellen und zum Logo-Sponsoring. [http://www.owasp.org/index.php/Image:OWASP_D_2008_Sponsoren_Info.pdf Infos für Sponsoren hier.] | Es besteht die Möglichkeit zum Ausstellen und zum Logo-Sponsoring. [http://www.owasp.org/index.php/Image:OWASP_D_2008_Sponsoren_Info.pdf Infos für Sponsoren hier.] | ||
− | == | + | |
+ | == Die Vorträge im Einzelnen == | ||
=== OWASP Overview (in Englisch) === | === OWASP Overview (in Englisch) === | ||
− | An introduction to Open Web Application Security Project (OWASP), a worldwide free and open community focused on improving the security of application software. Our mission is to make application security "visible," so that people and organizations can make informed decisions about application security risks. | + | :An introduction to Open Web Application Security Project (OWASP), a worldwide free and open community focused on improving the security of application software. Our mission is to make application security "visible," so that people and organizations can make informed decisions about application security risks. |
− | ''Über Sebastien Deleersnyder'' | + | :''Über Sebastien Deleersnyder'' |
− | Sebastien started the successful Belgian OWASP Chapter and performed several public presentations on web application and web services security. Sebastien specialises in (web) applicatoin security, combining his software development and information security experience. He is currently OWASP Foundation board member and responsible for the Telindus application security offering in Belgium. | + | :Sebastien started the successful Belgian OWASP Chapter and performed several public presentations on web application and web services security. Sebastien specialises in (web) applicatoin security, combining his software development and information security experience. He is currently OWASP Foundation board member and responsible for the Telindus application security offering in Belgium. |
=== Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen === | === Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen === | ||
− | ''Über Maximilian Dermann'' | + | :''Über Maximilian Dermann'' |
− | Maximilian Dermann ist selbstständiger IT-Security Architect. Er war bei Lufthansa Technik für mehr als fünf Jahre für die Sicherheit und den Betrieb der zuletzt über 60 eBusiness Applikationen zuständig. Seine Aufgaben beinhalteten u.a. die Erstellung von Detailrichtlinien für sichere Softwareentwicklung und den sicheren Betrieb der Applikationen, die Koordination von Sicherheitsaudits, das Design und die Koordination des Betriebs der Sicherheitsinfrastruktur sowie die Verantwortung für das Betriebsbudget. Als Projektleiter und Architekt hat er mehrere Projekte im Bereich IT-Sicherheit und IT-Infrastruktur durchgeführt. Maximilian Dermann war als Berater und Softwareentwickler im Bereich Webapplikationssicherheit an insgesamt vier Online-Banking und -Brokerage Projekten beteiligt. Er ist aktives Mitglied des OWASP German Chapters und einer der Co-Autoren des Best Practices Guide für Web Application Firewalls. | + | :Maximilian Dermann ist selbstständiger IT-Security Architect. Er war bei Lufthansa Technik für mehr als fünf Jahre für die Sicherheit und den Betrieb der zuletzt über 60 eBusiness Applikationen zuständig. Seine Aufgaben beinhalteten u.a. die Erstellung von Detailrichtlinien für sichere Softwareentwicklung und den sicheren Betrieb der Applikationen, die Koordination von Sicherheitsaudits, das Design und die Koordination des Betriebs der Sicherheitsinfrastruktur sowie die Verantwortung für das Betriebsbudget. Als Projektleiter und Architekt hat er mehrere Projekte im Bereich IT-Sicherheit und IT-Infrastruktur durchgeführt. Maximilian Dermann war als Berater und Softwareentwickler im Bereich Webapplikationssicherheit an insgesamt vier Online-Banking und -Brokerage Projekten beteiligt. Er ist aktives Mitglied des OWASP German Chapters und einer der Co-Autoren des Best Practices Guide für Web Application Firewalls. |
=== Kickstart für sichere Webanwendungen === | === Kickstart für sichere Webanwendungen === | ||
− | Der Ansatzpunkte und Maßnahmen zur Absicherung von Webanwendungen gibt es viele - doch wo fange ich an und was ist der für meinen ganz speziellen Fall beste Weg? | + | :Der Ansatzpunkte und Maßnahmen zur Absicherung von Webanwendungen gibt es viele - doch wo fange ich an und was ist der für meinen ganz speziellen Fall beste Weg? |
− | Der Vortrag gibt einen kompakten Überblick über die verschiedenen Ansatzpunkte zur Absicherung von Webanwendungen, diskutiert Vor- und Nachteile und stellt Erfahrungen aus der Praxis dar. | + | :Der Vortrag gibt einen kompakten Überblick über die verschiedenen Ansatzpunkte zur Absicherung von Webanwendungen, diskutiert Vor- und Nachteile und stellt Erfahrungen aus der Praxis dar. |
− | ''Über Thomas Schreiber'' | + | :''Über Thomas Schreiber'' |
− | Thomas Schreiber ist Geschäftsführer der SecureNet GmbH und Berater für die Sicherheit von Webanwendungen. Seit vielen Jahren beschäftigt er sich mit Sicherheitsaspekten von Webanwendungen und hat mittlerweile Hunderte von Webanwendungen auf ihre Sicherheit hin untersucht. Er ist Coautor des vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen "Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen". | + | :Thomas Schreiber ist Geschäftsführer der SecureNet GmbH und Berater für die Sicherheit von Webanwendungen. Seit vielen Jahren beschäftigt er sich mit Sicherheitsaspekten von Webanwendungen und hat mittlerweile Hunderte von Webanwendungen auf ihre Sicherheit hin untersucht. Er ist Coautor des vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen "Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen". |
=== SOA Sicherheitsarchitektur === | === SOA Sicherheitsarchitektur === | ||
− | Der Einsatz von SOA erfordert ein neues Sicherheitsmodell, da viele altbewährte Lösungen für Benutzermanagement, Authentifizierung, Autorisierung usw. nicht mehr funktionieren. Auch kommen neue Anforderungen hinzu, wie z.B. die Föderation und die Integration mit PKI-Systemen. Dieser Vortrag zeigt die spezifischen Sicherheitsprobleme von SOA von einer Architekturperspektive. Wichtige Standards für SOA, wie Policy Enforcement Point (PEP), Policy Decision Point (PDP), SAML, XACML, und deren konkrete Benutzung werden besprochen. Die Bedeutung von Rollenmodelle und die flexible Einbindung von solchen in SOAs wird auch behandelt. | + | :Der Einsatz von SOA erfordert ein neues Sicherheitsmodell, da viele altbewährte Lösungen für Benutzermanagement, Authentifizierung, Autorisierung usw. nicht mehr funktionieren. Auch kommen neue Anforderungen hinzu, wie z.B. die Föderation und die Integration mit PKI-Systemen. Dieser Vortrag zeigt die spezifischen Sicherheitsprobleme von SOA von einer Architekturperspektive. Wichtige Standards für SOA, wie Policy Enforcement Point (PEP), Policy Decision Point (PDP), SAML, XACML, und deren konkrete Benutzung werden besprochen. Die Bedeutung von Rollenmodelle und die flexible Einbindung von solchen in SOAs wird auch behandelt. |
− | ''Über Bruce Sams'' | + | :''Über Bruce Sams'' |
− | Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel. | + | :Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel. |
=== OWASP Best Practices zum Einsatz von Web Application Firewalls === | === OWASP Best Practices zum Einsatz von Web Application Firewalls === | ||
− | Der Vortrag stellt den vom OWASP Germany Chapter erstellten ''OWASP Best Practices zum Einsatz von Web Application Firewalls'' vor. | + | :Der Vortrag stellt den vom OWASP Germany Chapter erstellten ''OWASP Best Practices zum Einsatz von Web Application Firewalls'' vor. |
− | Das Dokument wendet sich vornehmlich an technische Entscheider - speziell Betriebsverantwortliche, Sicherheitsverantwortliche, Applikationseigner (Fachabteilung, technisch Anwendungsverantwortlicher), die den Einsatz einer WAF im Unternehmen evaluieren. Spezielles Augenmerk wurde – wo immer möglich – auf die Darstellung von Aufwandsabschätzungen gelegt – auch im Vergleich zu möglichen Alternativen wie z. B. Änderungen im Sourcecode. | + | :Das Dokument wendet sich vornehmlich an technische Entscheider - speziell Betriebsverantwortliche, Sicherheitsverantwortliche, Applikationseigner (Fachabteilung, technisch Anwendungsverantwortlicher), die den Einsatz einer WAF im Unternehmen evaluieren. Spezielles Augenmerk wurde – wo immer möglich – auf die Darstellung von Aufwandsabschätzungen gelegt – auch im Vergleich zu möglichen Alternativen wie z. B. Änderungen im Sourcecode. |
− | ''Über Alex Meisel'' | + | :''Über Alex Meisel'' |
− | Bereits in seiner Informatik-Diplomarbeit beschäftigte Alex Meisel sich mit der Abwehr und der Rückverfolgung von sog. Denial-of-Service- Attacken. Bei einem Schweizer IT-Dienstleister war er als Experte für Web-Sicherheit tätig; anschließend betreute er beim größten europäischen Internet-Knotenpunkt LINX (London Internet Exchange) Mitglieder in Fragen der Netzwerk-Sicherheit. | + | :Bereits in seiner Informatik-Diplomarbeit beschäftigte Alex Meisel sich mit der Abwehr und der Rückverfolgung von sog. Denial-of-Service- Attacken. Bei einem Schweizer IT-Dienstleister war er als Experte für Web-Sicherheit tätig; anschließend betreute er beim größten europäischen Internet-Knotenpunkt LINX (London Internet Exchange) Mitglieder in Fragen der Netzwerk-Sicherheit. Nach seiner dreijährigen Tätigkeit als Senior Consultant für Design und Implementierung von großen Web-Farmen inkl. Security-Audits bei einem führenden Hersteller von Web-Servern wechselte er als Leiter Projektmanagement zur Realisierung von Web-Applikations-Lösungen im SAP-Umfeld zum gleichen Fortune-500-Unternehmen. |
− | |||
− | Nach seiner | ||
=== Measuring the Security of Web Applications === | === Measuring the Security of Web Applications === | ||
− | Software ist unsicher! "Security Researcher" publizieren nahezu täglich Sicherheitsmängel in Softwareapplikationen in einschlägigen Mailinglisten und Internetforen. Und das bereits seit Jahrzehnten. | + | :Software ist unsicher! "Security Researcher" publizieren nahezu täglich Sicherheitsmängel in Softwareapplikationen in einschlägigen Mailinglisten und Internetforen. Und das bereits seit Jahrzehnten. Softwaresicherheit wird immer wichtiger mit der zunehmenden Vernetzung und Kritikalität der Daten. Daher reservieren Softwarehersteller oft signifikante (aber trotzdem begrenzte) Budgets zur sicheren Softwareentwicklung. Um diese Budgets werben Dienstleister und Hersteller von verschiedensten Sicherheitsprodukten. Oft halten diese Dienste und Produkte nicht das, was das Marketing verspricht. Für Softwarehersteller stellt sich die Frage in welche Prozesse und Technologien in welchem Umfang investiert werden sollte: "Wieviel Sicherheitszuwachs bekommt man für wieviel Aufwand"? In diesem Vortrag beleuchte ich Wege und Irrwege, um dieses Kosten-Nutzen-Verhältnis abzuschätzen und zu optimieren. |
− | Softwaresicherheit wird immer wichtiger mit der zunehmenden Vernetzung und Kritikalität der Daten. Daher reservieren Softwarehersteller oft signifikante (aber trotzdem begrenzte) Budgets zur sicheren Softwareentwicklung. Um diese Budgets werben Dienstleister und Hersteller von verschiedensten Sicherheitsprodukten. Oft halten diese Dienste und Produkte nicht das, was das Marketing verspricht. | ||
− | Für Softwarehersteller stellt sich die Frage in welche Prozesse und Technologien in welchem Umfang investiert werden sollte: "Wieviel Sicherheitszuwachs bekommt man für wieviel Aufwand"? In diesem Vortrag beleuchte ich Wege und Irrwege, um dieses Kosten-Nutzen-Verhältnis abzuschätzen und zu optimieren. | ||
− | ''Über Sebastian Schinzel'' | + | :''Über Sebastian Schinzel'' |
− | Sebastian Schinzel ist seit mehr als fünf Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsapplikationen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsapplikationen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. | + | :Sebastian Schinzel ist seit mehr als fünf Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsapplikationen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsapplikationen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. |
=== Security-by-Design durch Einsatz von MVC === | === Security-by-Design durch Einsatz von MVC === | ||
− | :: | + | :Das Frontend von Anwendungen in Model, View und Controller (MVC) zu unterteilen ist sicher eines der wichtigsten Architekturpatterns bei der Entwicklung von Webanwendungen. Für alle relevanten Programmiersprachen existieren hierfür mittlerweile zahlreiche mächtige Frameworks, wie z.B. Struts und Spring MVC für Java oder Symfony für PHP. |
− | ''Über Mirko Richter'' | + | |
− | : | + | :Neben dem naheliegenden Nutzen für die Strukturierung der Anwendung besitzen MVC-Frameworks aber auch zahlreiche, oft wenig bekannte Möglichkeiten, die es selbst unerfahrenen Entwicklern ermöglichen, nachhaltig sichere Webanwendungen zu erstellen. Weitergehende Sicherheit wie CSRF-Schutz lässt sich mit speziellen MVC-Plugins, wie HDIV, auch nachträglich, in die Anwendung integrieren. |
+ | |||
+ | :Neben diesen Möglichkeiten werden in diesem Vortrag aber auch grundlegende Sicherheitsprobleme betrachtet, die sich mit dem Einsatz von MVC-Frameworks ergeben. | ||
+ | |||
+ | :''Über Mirko Richter und Matthias Rohr'' | ||
+ | |||
+ | :Mirko Richter ist Entwickler sowie Berater für Softwarearchitektur und –sicherheit bei der SecureNet GmbH in München. Matthias Rohr ist Berater für Webapplikationssicherheit bei der SecureNet GmbH in München. | ||
=== Server- und Browser-basierte XSS Erkennung === | === Server- und Browser-basierte XSS Erkennung === | ||
− | Wenn man sich HTTP Verkehr von Web Applikationen unter dem Gesichtspunkt des Erkennens von eingeschleustem JaveScript-codes betrachtet, fallen zwei einfache Zusammenhänge ins Auge: | + | :Wenn man sich HTTP Verkehr von Web Applikationen unter dem Gesichtspunkt des Erkennens von eingeschleustem JaveScript-codes betrachtet, fallen zwei einfache Zusammenhänge ins Auge: |
− | * Die Menge aller von einer Web Applikation legitim verwendeten JavaScripte ist stark eingeschränkt, was sowohl in Anzahl wie auch in Varianten betrifft, und ist somit maschinell erfassbar. | + | :* Die Menge aller von einer Web Applikation legitim verwendeten JavaScripte ist stark eingeschränkt, was sowohl in Anzahl wie auch in Varianten betrifft, und ist somit maschinell erfassbar. |
− | * Es gibt einen klaren Zusammenhang zwischen den Parametern eines eingehenden HTTP Requests und den (eventuellen) reflected XSS Scripten, die in der resultierenden Web Seite enthalten sind. | + | :* Es gibt einen klaren Zusammenhang zwischen den Parametern eines eingehenden HTTP Requests und den (eventuellen) reflected XSS Scripten, die in der resultierenden Web Seite enthalten sind. |
− | Basierend auf diesen beiden Beobachtungen wurden an den Universitäten Hamburg und Passau zwei Detektoren entwickelt, die in der Lage sind XSS Angriffe zu erkennen. Der Vortrag wird beide Erkennungsmethoden vorstellen und aufzeigen wie wir diese auf der Server-seite [1] sowie im Browser [2] umgesetzt haben. | + | :Basierend auf diesen beiden Beobachtungen wurden an den Universitäten Hamburg und Passau zwei Detektoren entwickelt, die in der Lage sind XSS Angriffe zu erkennen. Der Vortrag wird beide Erkennungsmethoden vorstellen und aufzeigen wie wir diese auf der Server-seite [1] sowie im Browser [2] umgesetzt haben. |
− | Links: | + | :Links: |
− | [1] Martin Johns, Bjoern Engelmann, Joachim Posegga: XSSDS: | + | :[1] Martin Johns, Bjoern Engelmann, Joachim Posegga: XSSDS: |
− | Server-side detection of cross-site scripting attacks, in Annual | + | :Server-side detection of cross-site scripting attacks, in Annual Computer Security Applications Conference (ACSAC '08), December 2008, http://databasement.net/docs/2008_ACSAC_johns_Engelmann_Posegga_XSSDS.pdf |
− | Computer Security Applications Conference (ACSAC '08), December 2008, | ||
− | http://databasement.net/docs/2008_ACSAC_johns_Engelmann_Posegga_XSSDS.pdf | ||
− | [2] Jeremias Reith, noXSS, Firefox extension, http://www.noxss.org/ | + | :[2] Jeremias Reith, noXSS, Firefox extension, http://www.noxss.org/ |
− | ''Über Martin Johns und Jeremias Reith'' | + | :''Über Martin Johns und Jeremias Reith'' |
− | Martin Johns ist wissenschaftlicher Mitarbeiter an der Universität Passau, wo er im Bereich Web- und Software-Sicherheit forscht und gerade den finalen Schliff an seine Doktorarbeit bringt. Vor seinem Eintritt in die akademische Welt, wirkte er als Software Entwickler in verschiedenen Firmen, wie z.B. Infoseek Deutschland, TC Trustcenter und der SAP AG. | + | :Martin Johns ist wissenschaftlicher Mitarbeiter an der Universität Passau, wo er im Bereich Web- und Software-Sicherheit forscht und gerade den finalen Schliff an seine Doktorarbeit bringt. Vor seinem Eintritt in die akademische Welt, wirkte er als Software Entwickler in verschiedenen Firmen, wie z.B. Infoseek Deutschland, TC Trustcenter und der SAP AG. |
− | Jeremias Reith studiert seit 2002 Informatik mit dem Schwerpunkt IT Sicherheit an der Universität Hamburg und arbeitet ausserdem als System-Engineer für ein international agierendes Medienhaus. Momentan schreibt er seine Diplomarbeit mit dem Thema "Reliable reflective XSS detection on the client side" und widmet sich in seiner Freizeit der Firefox-Erweiterung noXSS welche vor XSS-Angriffen schützen soll. | + | :Jeremias Reith studiert seit 2002 Informatik mit dem Schwerpunkt IT Sicherheit an der Universität Hamburg und arbeitet ausserdem als System-Engineer für ein international agierendes Medienhaus. Momentan schreibt er seine Diplomarbeit mit dem Thema "Reliable reflective XSS detection on the client side" und widmet sich in seiner Freizeit der Firefox-Erweiterung noXSS welche vor XSS-Angriffen schützen soll. |
=== Cross-Site Scripting Filter Evasion === | === Cross-Site Scripting Filter Evasion === | ||
− | Die Darstellung seiner Individualität ist einer der Schlüsselfaktoren, um im Web 2.0 Business erfolgreich tätig zu sein. Aus diesem Grund erlauben viele Web 2.0 Anwendungen Ihren Benutzern sich freizügig zu präsentieren. Aber diese Praxis erhöht die Risikoanfälligkeit von Cross-Site Scripting Schwachstellen. Der Vortrag untersucht diverse Blacklist- und Whitelist-Ansätze und wie solche Filterregeln umgangen werden können. | + | :Die Darstellung seiner Individualität ist einer der Schlüsselfaktoren, um im Web 2.0 Business erfolgreich tätig zu sein. Aus diesem Grund erlauben viele Web 2.0 Anwendungen Ihren Benutzern sich freizügig zu präsentieren. Aber diese Praxis erhöht die Risikoanfälligkeit von Cross-Site Scripting Schwachstellen. Der Vortrag untersucht diverse Blacklist- und Whitelist-Ansätze und wie solche Filterregeln umgangen werden können. |
− | ''Über Alexios Fakos'' | + | :''Über Alexios Fakos'' |
− | Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum deutschen IT Sicherheitsdienstleister n.runs AG gewechselt. | + | :Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum deutschen IT Sicherheitsdienstleister n.runs AG gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung (MND) an der Fachhochschule Giessen-Friedberg. |
− | Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung (MND) an der Fachhochschule Giessen-Friedberg. | ||
=== Learning of Positive Security Models for Web-Applications === | === Learning of Positive Security Models for Web-Applications === | ||
− | In vielen Bereichen haben maschinelle Lernverfahren bereits einen großen Einfluß genommen. SPAM-Bekämpfung und Anomalie-basierte Intrusion-Detection wären ohne KI-Ansätze wie Text-Klassifizierung, Clustering oder Outlier-Detection nicht möglich. Im Bereich der Web-Sicherheit gibt es dagegen bisher nur sehr wenige wissenschaftliche Arbeiten, maschinelles Lernen zu verwenden. Auf der anderen Seite werben immer mehr Hersteller von Web Application Firewalls mit selbst-lernenden Systemen ohne Details preiszugeben. | + | :In vielen Bereichen haben maschinelle Lernverfahren bereits einen großen Einfluß genommen. SPAM-Bekämpfung und Anomalie-basierte Intrusion-Detection wären ohne KI-Ansätze wie Text-Klassifizierung, Clustering oder Outlier-Detection nicht möglich. Im Bereich der Web-Sicherheit gibt es dagegen bisher nur sehr wenige wissenschaftliche Arbeiten, maschinelles Lernen zu verwenden. Auf der anderen Seite werben immer mehr Hersteller von Web Application Firewalls mit selbst-lernenden Systemen ohne Details preiszugeben. |
− | Der Vortrag gibt einen Überblick über die (wenigen) wissenschaftlichen Arbeiten zum Thema Web-Sicherheit aus dem Blickwinkel des maschinellen Lernens und stellt ein Projekt vor, das versucht, positive Sicherheitsmodelle für WAF-Systeme aus HTTP-Traffic automatisiert zu erstellen. | + | :Der Vortrag gibt einen Überblick über die (wenigen) wissenschaftlichen Arbeiten zum Thema Web-Sicherheit aus dem Blickwinkel des maschinellen Lernens und stellt ein Projekt vor, das versucht, positive Sicherheitsmodelle für WAF-Systeme aus HTTP-Traffic automatisiert zu erstellen. |
− | ''Über Christian Bockermann'' | + | :''Über Christian Bockermann'' |
− | Christian Bockermann ist derzeit wissenschaftlicher Mitarbeiter an der Technischen Universität Dortmund. Nach seiner Diplomarbeit zum Thema "Anomalie-Erkennung in Web-Anwendungen" promoviert er zur Zeit am Lehrstuhl für künstliche Intelligenz im Bereich Web-Sicherheit. | + | :Christian Bockermann ist derzeit wissenschaftlicher Mitarbeiter an der Technischen Universität Dortmund. Nach seiner Diplomarbeit zum Thema "Anomalie-Erkennung in Web-Anwendungen" promoviert er zur Zeit am Lehrstuhl für künstliche Intelligenz im Bereich Web-Sicherheit. Neben einigen Projekten zur Web-Sicherheit betreibt er die Seite jwall.org [http://jwall.org], die einen Teil der Tools bereitstellt, die im Rahmen der Forschungsarbeiten bisher entwickelt wurden. |
− | Neben einigen Projekten zur Web-Sicherheit betreibt er die Seite jwall.org [http://jwall.org], die einen Teil der Tools bereitstellt, die im Rahmen der Forschungsarbeiten bisher entwickelt wurden. | ||
=== Sicherheit von Rich Internet Applications === | === Sicherheit von Rich Internet Applications === | ||
− | In dem Vortrag soll es um die besonderen Risiken gehen, die beim Einsatz von gängigen Rich Internet Applications vor allem auf Basis von Flash/AIR und Silverlight im Gegensatz zu klassischen Webanwendungen existieren. Ausserdem werden einige Hinweise gegeben, wie diese Anwendungen auditiert werden können und wo dabei die besonderen Schwierigkeiten liegen. | + | :In dem Vortrag soll es um die besonderen Risiken gehen, die beim Einsatz von gängigen Rich Internet Applications vor allem auf Basis von Flash/AIR und Silverlight im Gegensatz zu klassischen Webanwendungen existieren. Ausserdem werden einige Hinweise gegeben, wie diese Anwendungen auditiert werden können und wo dabei die besonderen Schwierigkeiten liegen. |
− | ''Über fukami'' | + | :''Über fukami'' |
− | fukami arbeitet als Senior Security Consultant für die [http://sektioneins.de SektionEins GmbH] in Köln und hat Spass am Gerät. | + | :fukami arbeitet als Senior Security Consultant für die [http://sektioneins.de SektionEins GmbH] in Köln und hat Spass am Gerät. |
=== Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software === | === Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software === | ||
− | Im Rahmen Forschungsprojektes [http://www.secologic.de Secologic] wurden von SAP und Commerzbank u.a. "Goldene Regeln" jeweils für Entwickler, Auftraggeber, Architekten, Tester und IT- Projektleiter entwickelt, die dazu beitragen sollen, die Zahl sicherheitsrelevanter Fehler in Software systematisch zu reduzieren. Das Projekt richtete sich insbesondere an den Mittelstand, wo spezialisiertes Wissen zur Sicherheit von IT-Anwendungen nicht vorausgesetzt werden kann. Die Besonderheit: Nicht nur die Entwickler, sondern auch die (internen oder externen) Auftraggeber werden in die Pflicht genommen. Denn hier sitzt der erste wichtige "Hebel" für die Verbesserung der Softwarequalität. | + | :Im Rahmen Forschungsprojektes [http://www.secologic.de Secologic] wurden von SAP und Commerzbank u.a. "Goldene Regeln" jeweils für Entwickler, Auftraggeber, Architekten, Tester und IT- Projektleiter entwickelt, die dazu beitragen sollen, die Zahl sicherheitsrelevanter Fehler in Software systematisch zu reduzieren. Das Projekt richtete sich insbesondere an den Mittelstand, wo spezialisiertes Wissen zur Sicherheit von IT-Anwendungen nicht vorausgesetzt werden kann. Die Besonderheit: Nicht nur die Entwickler, sondern auch die (internen oder externen) Auftraggeber werden in die Pflicht genommen. Denn hier sitzt der erste wichtige "Hebel" für die Verbesserung der Softwarequalität. |
− | ''Über Boris Hemkemeier'' | + | :''Über Boris Hemkemeier'' |
− | Dr. Boris Hemkemeier arbeitet als Senior Security Consultant bei der [http://www.commerzbank.de Commerzbank AG]. | + | :Dr. Boris Hemkemeier arbeitet als Senior Security Consultant bei der [http://www.commerzbank.de Commerzbank AG]. |
Zurück zur [[Germany|OWASP Germany Homepage]]. | Zurück zur [[Germany|OWASP Germany Homepage]]. | ||
[[Category:Germany]] | [[Category:Germany]] |
Revision as of 12:33, 28 October 2008
Die OWASP Germany 2008 Konferenz wird am 25.11.08 mit einer Vorabendveranstalung am 24.11.08 in Frankfurt stattfinden. (The OWASP Germany 2008 conference will be held on November 25, 2008 in Frankfurt.)
Veranstaltungsort: Steigenberger Airport Hotel (per Bahn und Flieger gleichermaßen gut zu erreichen)
Zurück zur OWASP Germany Homepage.
- 1 Agenda
- 2 Anmeldung und Preise
- 3 Sponsoring
- 4 Die Vorträge im Einzelnen
- 4.1 OWASP Overview (in Englisch)
- 4.2 Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen
- 4.3 Kickstart für sichere Webanwendungen
- 4.4 SOA Sicherheitsarchitektur
- 4.5 OWASP Best Practices zum Einsatz von Web Application Firewalls
- 4.6 Measuring the Security of Web Applications
- 4.7 Security-by-Design durch Einsatz von MVC
- 4.8 Server- und Browser-basierte XSS Erkennung
- 4.9 Cross-Site Scripting Filter Evasion
- 4.10 Learning of Positive Security Models for Web-Applications
- 4.11 Sicherheit von Rich Internet Applications
- 4.12 Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software
Agenda
Dienstag, 25.11.08 | ||
---|---|---|
09:00-09:30 | Registrierung und Kaffee | |
09:30-09:45 | Begrüßung | |
9:45-10:30 | OWASP Overview (in Englisch)
Sebastien Deleersnyder, OWASP Foundation Board Member | |
10:30-11:15 | Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen
Maximilian Dermann, IT-Security Architect | |
11:15-11:30 | Kaffeepause | |
11:30-12:15 | Kickstart für sichere Webanwendungen
Thomas Schreiber, SecureNet GmbH | |
12:15-13:00 | SOA Sicherheitsarchitektur
Dr. Bruce Sams, OPTIMAbit GmbH | |
13:00-14:00 | Mittagspause | |
14:00-14:45 | Vorstellung des OWASP Best Practices Guide zum Einsatz von Web Application Firewalls
Alex Meisel, Art of Defence | |
Tracks: 30 Min Präsentation , 10 Min Diskussion + Raumsuche | ||
Track 1 | Track 2 | |
14:50-15:30 | Measuring the Security of Web Applications
Sebastian Schinzel, Virtual Forge |
Server- und Browser-basierte XSS Erkennung
Martin Johns, Uni Passau, und Jeremias Reith, Uni Hamburg |
15:30-16:10 | Security-by-Design durch Einsatz von MVC
Mirko Richter u. Matthias Rohr, SecureNet GmbH |
Cross-Site Scripting Filter Evasion
Alexios Fakos, n.runs AG |
16:10-16:30 | Kaffeepause | |
16:30-17:10 | Learning of Positive Security Models for Web-Applications
Christian Bockermann |
Sicherheit von Rich Internet Applications
fukami, SektionEins GmbH |
17:10-17:50 | Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software
N.N., SAP AG (angefragt), Dr. Boris Hemkemeier, Commerzbank | |
17:50-18:00 | Schlusswort | |
OWASP Germany |
Anmeldung und Preise
Anmeldeinformationen in Kürze an dieser Stelle.
Preise:
„normaler“ Teilnehmer | 149 EUR |
OWASP-Mitglied | 99 EUR |
Studenten | kostenlos |
Preise zzgl. MwSt.
Sponsoring
Es besteht die Möglichkeit zum Ausstellen und zum Logo-Sponsoring. Infos für Sponsoren hier.
Die Vorträge im Einzelnen
OWASP Overview (in Englisch)
- An introduction to Open Web Application Security Project (OWASP), a worldwide free and open community focused on improving the security of application software. Our mission is to make application security "visible," so that people and organizations can make informed decisions about application security risks.
- Über Sebastien Deleersnyder
- Sebastien started the successful Belgian OWASP Chapter and performed several public presentations on web application and web services security. Sebastien specialises in (web) applicatoin security, combining his software development and information security experience. He is currently OWASP Foundation board member and responsible for the Telindus application security offering in Belgium.
Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen
- Über Maximilian Dermann
- Maximilian Dermann ist selbstständiger IT-Security Architect. Er war bei Lufthansa Technik für mehr als fünf Jahre für die Sicherheit und den Betrieb der zuletzt über 60 eBusiness Applikationen zuständig. Seine Aufgaben beinhalteten u.a. die Erstellung von Detailrichtlinien für sichere Softwareentwicklung und den sicheren Betrieb der Applikationen, die Koordination von Sicherheitsaudits, das Design und die Koordination des Betriebs der Sicherheitsinfrastruktur sowie die Verantwortung für das Betriebsbudget. Als Projektleiter und Architekt hat er mehrere Projekte im Bereich IT-Sicherheit und IT-Infrastruktur durchgeführt. Maximilian Dermann war als Berater und Softwareentwickler im Bereich Webapplikationssicherheit an insgesamt vier Online-Banking und -Brokerage Projekten beteiligt. Er ist aktives Mitglied des OWASP German Chapters und einer der Co-Autoren des Best Practices Guide für Web Application Firewalls.
Kickstart für sichere Webanwendungen
- Der Ansatzpunkte und Maßnahmen zur Absicherung von Webanwendungen gibt es viele - doch wo fange ich an und was ist der für meinen ganz speziellen Fall beste Weg?
- Der Vortrag gibt einen kompakten Überblick über die verschiedenen Ansatzpunkte zur Absicherung von Webanwendungen, diskutiert Vor- und Nachteile und stellt Erfahrungen aus der Praxis dar.
- Über Thomas Schreiber
- Thomas Schreiber ist Geschäftsführer der SecureNet GmbH und Berater für die Sicherheit von Webanwendungen. Seit vielen Jahren beschäftigt er sich mit Sicherheitsaspekten von Webanwendungen und hat mittlerweile Hunderte von Webanwendungen auf ihre Sicherheit hin untersucht. Er ist Coautor des vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen "Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen".
SOA Sicherheitsarchitektur
- Der Einsatz von SOA erfordert ein neues Sicherheitsmodell, da viele altbewährte Lösungen für Benutzermanagement, Authentifizierung, Autorisierung usw. nicht mehr funktionieren. Auch kommen neue Anforderungen hinzu, wie z.B. die Föderation und die Integration mit PKI-Systemen. Dieser Vortrag zeigt die spezifischen Sicherheitsprobleme von SOA von einer Architekturperspektive. Wichtige Standards für SOA, wie Policy Enforcement Point (PEP), Policy Decision Point (PDP), SAML, XACML, und deren konkrete Benutzung werden besprochen. Die Bedeutung von Rollenmodelle und die flexible Einbindung von solchen in SOAs wird auch behandelt.
- Über Bruce Sams
- Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer führenden Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel.
OWASP Best Practices zum Einsatz von Web Application Firewalls
- Der Vortrag stellt den vom OWASP Germany Chapter erstellten OWASP Best Practices zum Einsatz von Web Application Firewalls vor.
- Das Dokument wendet sich vornehmlich an technische Entscheider - speziell Betriebsverantwortliche, Sicherheitsverantwortliche, Applikationseigner (Fachabteilung, technisch Anwendungsverantwortlicher), die den Einsatz einer WAF im Unternehmen evaluieren. Spezielles Augenmerk wurde – wo immer möglich – auf die Darstellung von Aufwandsabschätzungen gelegt – auch im Vergleich zu möglichen Alternativen wie z. B. Änderungen im Sourcecode.
- Über Alex Meisel
- Bereits in seiner Informatik-Diplomarbeit beschäftigte Alex Meisel sich mit der Abwehr und der Rückverfolgung von sog. Denial-of-Service- Attacken. Bei einem Schweizer IT-Dienstleister war er als Experte für Web-Sicherheit tätig; anschließend betreute er beim größten europäischen Internet-Knotenpunkt LINX (London Internet Exchange) Mitglieder in Fragen der Netzwerk-Sicherheit. Nach seiner dreijährigen Tätigkeit als Senior Consultant für Design und Implementierung von großen Web-Farmen inkl. Security-Audits bei einem führenden Hersteller von Web-Servern wechselte er als Leiter Projektmanagement zur Realisierung von Web-Applikations-Lösungen im SAP-Umfeld zum gleichen Fortune-500-Unternehmen.
Measuring the Security of Web Applications
- Software ist unsicher! "Security Researcher" publizieren nahezu täglich Sicherheitsmängel in Softwareapplikationen in einschlägigen Mailinglisten und Internetforen. Und das bereits seit Jahrzehnten. Softwaresicherheit wird immer wichtiger mit der zunehmenden Vernetzung und Kritikalität der Daten. Daher reservieren Softwarehersteller oft signifikante (aber trotzdem begrenzte) Budgets zur sicheren Softwareentwicklung. Um diese Budgets werben Dienstleister und Hersteller von verschiedensten Sicherheitsprodukten. Oft halten diese Dienste und Produkte nicht das, was das Marketing verspricht. Für Softwarehersteller stellt sich die Frage in welche Prozesse und Technologien in welchem Umfang investiert werden sollte: "Wieviel Sicherheitszuwachs bekommt man für wieviel Aufwand"? In diesem Vortrag beleuchte ich Wege und Irrwege, um dieses Kosten-Nutzen-Verhältnis abzuschätzen und zu optimieren.
- Über Sebastian Schinzel
- Sebastian Schinzel ist seit mehr als fünf Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsapplikationen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsapplikationen durch und berät SAP-Kunden zu sicherer Softwareentwicklung.
Security-by-Design durch Einsatz von MVC
- Das Frontend von Anwendungen in Model, View und Controller (MVC) zu unterteilen ist sicher eines der wichtigsten Architekturpatterns bei der Entwicklung von Webanwendungen. Für alle relevanten Programmiersprachen existieren hierfür mittlerweile zahlreiche mächtige Frameworks, wie z.B. Struts und Spring MVC für Java oder Symfony für PHP.
- Neben dem naheliegenden Nutzen für die Strukturierung der Anwendung besitzen MVC-Frameworks aber auch zahlreiche, oft wenig bekannte Möglichkeiten, die es selbst unerfahrenen Entwicklern ermöglichen, nachhaltig sichere Webanwendungen zu erstellen. Weitergehende Sicherheit wie CSRF-Schutz lässt sich mit speziellen MVC-Plugins, wie HDIV, auch nachträglich, in die Anwendung integrieren.
- Neben diesen Möglichkeiten werden in diesem Vortrag aber auch grundlegende Sicherheitsprobleme betrachtet, die sich mit dem Einsatz von MVC-Frameworks ergeben.
- Über Mirko Richter und Matthias Rohr
- Mirko Richter ist Entwickler sowie Berater für Softwarearchitektur und –sicherheit bei der SecureNet GmbH in München. Matthias Rohr ist Berater für Webapplikationssicherheit bei der SecureNet GmbH in München.
Server- und Browser-basierte XSS Erkennung
- Wenn man sich HTTP Verkehr von Web Applikationen unter dem Gesichtspunkt des Erkennens von eingeschleustem JaveScript-codes betrachtet, fallen zwei einfache Zusammenhänge ins Auge:
- Die Menge aller von einer Web Applikation legitim verwendeten JavaScripte ist stark eingeschränkt, was sowohl in Anzahl wie auch in Varianten betrifft, und ist somit maschinell erfassbar.
- Es gibt einen klaren Zusammenhang zwischen den Parametern eines eingehenden HTTP Requests und den (eventuellen) reflected XSS Scripten, die in der resultierenden Web Seite enthalten sind.
- Basierend auf diesen beiden Beobachtungen wurden an den Universitäten Hamburg und Passau zwei Detektoren entwickelt, die in der Lage sind XSS Angriffe zu erkennen. Der Vortrag wird beide Erkennungsmethoden vorstellen und aufzeigen wie wir diese auf der Server-seite [1] sowie im Browser [2] umgesetzt haben.
- Links:
- [1] Martin Johns, Bjoern Engelmann, Joachim Posegga: XSSDS:
- Server-side detection of cross-site scripting attacks, in Annual Computer Security Applications Conference (ACSAC '08), December 2008, http://databasement.net/docs/2008_ACSAC_johns_Engelmann_Posegga_XSSDS.pdf
- [2] Jeremias Reith, noXSS, Firefox extension, http://www.noxss.org/
- Über Martin Johns und Jeremias Reith
- Martin Johns ist wissenschaftlicher Mitarbeiter an der Universität Passau, wo er im Bereich Web- und Software-Sicherheit forscht und gerade den finalen Schliff an seine Doktorarbeit bringt. Vor seinem Eintritt in die akademische Welt, wirkte er als Software Entwickler in verschiedenen Firmen, wie z.B. Infoseek Deutschland, TC Trustcenter und der SAP AG.
- Jeremias Reith studiert seit 2002 Informatik mit dem Schwerpunkt IT Sicherheit an der Universität Hamburg und arbeitet ausserdem als System-Engineer für ein international agierendes Medienhaus. Momentan schreibt er seine Diplomarbeit mit dem Thema "Reliable reflective XSS detection on the client side" und widmet sich in seiner Freizeit der Firefox-Erweiterung noXSS welche vor XSS-Angriffen schützen soll.
Cross-Site Scripting Filter Evasion
- Die Darstellung seiner Individualität ist einer der Schlüsselfaktoren, um im Web 2.0 Business erfolgreich tätig zu sein. Aus diesem Grund erlauben viele Web 2.0 Anwendungen Ihren Benutzern sich freizügig zu präsentieren. Aber diese Praxis erhöht die Risikoanfälligkeit von Cross-Site Scripting Schwachstellen. Der Vortrag untersucht diverse Blacklist- und Whitelist-Ansätze und wie solche Filterregeln umgangen werden können.
- Über Alexios Fakos
- Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum deutschen IT Sicherheitsdienstleister n.runs AG gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung (MND) an der Fachhochschule Giessen-Friedberg.
Learning of Positive Security Models for Web-Applications
- In vielen Bereichen haben maschinelle Lernverfahren bereits einen großen Einfluß genommen. SPAM-Bekämpfung und Anomalie-basierte Intrusion-Detection wären ohne KI-Ansätze wie Text-Klassifizierung, Clustering oder Outlier-Detection nicht möglich. Im Bereich der Web-Sicherheit gibt es dagegen bisher nur sehr wenige wissenschaftliche Arbeiten, maschinelles Lernen zu verwenden. Auf der anderen Seite werben immer mehr Hersteller von Web Application Firewalls mit selbst-lernenden Systemen ohne Details preiszugeben.
- Der Vortrag gibt einen Überblick über die (wenigen) wissenschaftlichen Arbeiten zum Thema Web-Sicherheit aus dem Blickwinkel des maschinellen Lernens und stellt ein Projekt vor, das versucht, positive Sicherheitsmodelle für WAF-Systeme aus HTTP-Traffic automatisiert zu erstellen.
- Über Christian Bockermann
- Christian Bockermann ist derzeit wissenschaftlicher Mitarbeiter an der Technischen Universität Dortmund. Nach seiner Diplomarbeit zum Thema "Anomalie-Erkennung in Web-Anwendungen" promoviert er zur Zeit am Lehrstuhl für künstliche Intelligenz im Bereich Web-Sicherheit. Neben einigen Projekten zur Web-Sicherheit betreibt er die Seite jwall.org [1], die einen Teil der Tools bereitstellt, die im Rahmen der Forschungsarbeiten bisher entwickelt wurden.
Sicherheit von Rich Internet Applications
- In dem Vortrag soll es um die besonderen Risiken gehen, die beim Einsatz von gängigen Rich Internet Applications vor allem auf Basis von Flash/AIR und Silverlight im Gegensatz zu klassischen Webanwendungen existieren. Ausserdem werden einige Hinweise gegeben, wie diese Anwendungen auditiert werden können und wo dabei die besonderen Schwierigkeiten liegen.
- Über fukami
- fukami arbeitet als Senior Security Consultant für die SektionEins GmbH in Köln und hat Spass am Gerät.
Goldene Regeln der IT-Sicherheit bei der Beauftragung und Erstellung von Software
- Im Rahmen Forschungsprojektes Secologic wurden von SAP und Commerzbank u.a. "Goldene Regeln" jeweils für Entwickler, Auftraggeber, Architekten, Tester und IT- Projektleiter entwickelt, die dazu beitragen sollen, die Zahl sicherheitsrelevanter Fehler in Software systematisch zu reduzieren. Das Projekt richtete sich insbesondere an den Mittelstand, wo spezialisiertes Wissen zur Sicherheit von IT-Anwendungen nicht vorausgesetzt werden kann. Die Besonderheit: Nicht nur die Entwickler, sondern auch die (internen oder externen) Auftraggeber werden in die Pflicht genommen. Denn hier sitzt der erste wichtige "Hebel" für die Verbesserung der Softwarequalität.
- Über Boris Hemkemeier
- Dr. Boris Hemkemeier arbeitet als Senior Security Consultant bei der Commerzbank AG.
Zurück zur OWASP Germany Homepage.