This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

German OWASP Day 2014/Programm

From OWASP
Revision as of 22:10, 5 November 2014 by Achim (talk | contribs) (Giorgio Vortrag dazu)

Jump to: navigation, search
Logo 6th German OWASP Day

Agenda / Vorträge / Presentations

(vorläufiges Programm! Themen und Autoren sind ok, Zeiten und Räume noch nicht)

Mittwoch, 09. Dezember 2014




In the Cage Chamber of 32 Doors Waiting Room
09:00 - 9:15 Begrüßung / Welcome
Tobias Glemser, OWASP Chair Germany
09:15 - 10:00 Keynote
Rainer Böhme (Universität Münster)
 ?:? - ?:? OWASP Introduction
??
10:30 - 11:00 Kaffeepause / Coffee Break
 ?:? - ?:? The First, Toughest and Messiest XSS Filter Ever
Giorgio Maone (Autor von NoScript)
OpenSAMM
Seba Deleersnyder
TBD
Jerry Hoff
12:30 - 13:30 Mittagspause / Lunch Break
 ?:? - ?:? OWASP Top 10 Privacy Risks
Florian Stahl und Stefan Burgmair
Richtig verschlüsseln mit SSL/TLS
Achim Hoffmann und Torsten Gigler
Cloud encryption: encrypt all the thingsbr>Walter Tighzert
 ?:? - ?:? Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen
Amir Alsbih
Scannen des gesamten IPv4 WWW
Sebastian Schinzel
Hacken und Absichern von iOS Anwendungen
Bruce Sams
15:00 - 15:30 Pause / Coffe Break
17:25 - 18:00 Closing Note
??

Downloads

(Hier werden die Vorträge zu finden sein, sobald die Autoren ...)

Details zu den Vorträgen

Keynote: — Rainer Böhme (Universität Münster)

Giorgio Maone — The First, Toughest and Messiest XSS Filter Ever

Florian Stahl and Stefan Burgmair — OWASP Top 10 Privacy Risks

Discussions about how to protect personal data are lively, but still there is no specific and independent description of privacy risks for web applications available. Thus, companies lack guidance to apply during systems development and users cannot easily check whether they take privacy risks when using certain web applications. Therefore the OWASP Top 10 Privacy Risks project was founded in February 2014 to develop a top 10 list for privacy risks in web applications. It covers technological and organizational aspects like missing encryption or insufficient transparency. The project got huge attention from privacy and security experts worldwide and was chosen as key input for the Internet Privacy Engineering Network (IPEN) founded by the European Data Protection Supervisory earlier this year. This session will be the first presentation of the OWASP Top 10 Privacy Risks at a public conference.

Further information about the OWASP Top 10 Privacy Risks Project is available on the project Website.

Sebastian Schinzel — Scannen des gesamten IPv4 WWW

Spätestens seit der Veröffentlichung der Netzwerkscanner Zmap und Masscan in 2013 wurde es erstmals für Jedermann technisch möglich, den gesamten IPv4-Bereich in wenigen Stunden zu scannen. Die dadurch möglich gewordenen Datenanalysemöglichkeiten sind vielfältig und höchst interessant. Man muss nicht mehr von Stichproben extrapolieren, sondern erhebt einfach alle Daten.

Im Labor für IT-Sicherheit der FH Münster haben wir im letzten Jahr das gesamte Internet mehrere Dutzend Male gescannt. Das Ziel der Scans war es, Instanzen bestimmter Webanwendungen zu finden, die kritische Sicherheitslücken enthalten. In diesen Vortrag stelle ich unsere Erfahrungen mit den Scans vor.

Amir Alsbih — Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen

In diesem Vortrag sollen die praktischen Erfahrungen aus knapp 100 Sicherheitsabnahmen geteilt werden, die letztes Jahr durch uns durchgeführt wurden.

Insbesondere soll darauf eingegangen werden, welche praktischen Herausforderungen bei einer vollständigen / teilweise outgesourcten Entwicklung und oder dem Betrieb von Web-Anwendungen bestehen. Durch das Aufzeigen der praktischen Realität über eine Vielzahl von Projekten mit unterschiedlichen Beteiligten, unterschiedlichen Größen und unterschiedlichen "Zielgruppen" soll die Diversität der Sichten auf die Sicherheit verdeutlicht werden. Indem man sich diese Herausforderungen bewußtmacht, können ggf. das eigene Handeln optimiert und ggf. Probleme bereits im Vorfeld vermieden werden.

Walter Tighzert — Cloud encryption: encrypt all the things!

Cloud computing offers numerous advantages for the end user: low maintenance, immediate scalability, high availability... However, potential customers are reluctant to use business cloud solutions due to security and privacy concerns. They do not want a malicious cloud provider, administrator or attacker to look at their data. Cryptography is one possible solution to prevent this. With the recent progress on cryptographic algorithms, such as order preserving encryption or partially homomorphic encryption, it is possible to search over encrypted data – without the need for decryption – and to execute complex queries.

We will present different approaches to using cryptography in the cloud, from research prototype to commercial solutions (database encryption, browser extension, HTTP proxy…). We will show how each solution impacts on the performance, security and functionality of various business applications from the healthcare and sales domains.

Achim Hoffmann and Torsten Gigler — Richtig verschlüsseln mit SSL/TLS

Das 'S' von SSL/TLS spielt neben https bei immer mehr Infrastruktur-Diensten, wie z.B. SMTP, IMAP, POP3, RDP, FTP, LDAP und XMPP (Jabber) eine Rolle. Diese nutzen die SSL/TLS-Verschlüsselung entweder direkt, oder mittels STARTTLS. Nicht zuletzt aufgrund den geheimdienstlichen Aktivitäten und der Heartbleed-Lücke von OpenSSL ist das Thema 'Verschlüsselung des Transports der Daten' aktueller denn je.

Leider reicht es nicht, sich ein Zertifikat zu besorgen, die Verschlüsselung 'einfach' einzuschalten und zu denken, dass dann schon Alles gut ist. Weder 'viel hilft viel', noch das blinde Vertrauen in die Standard-(Default-)Einstellungen führen zum gewünschten Schutz. Dieser Vortrag erklärt die wichtigsten, derzeit allgemein empfohlenen Konfigurations-Einstellungen (Good Practices). Dabei vertiefen wir, wie die richtigen Protokolle und Verfahren (Cipher), sowie deren Priorisierung ausgewählt werden sollten, um eine zeitgemäße Verschlüsselung zu erreichen. Dies, ohne dabei wichtige Clients, meist Browser, 'abzuhängen'.

Danach erfährt die/der Teilnehmer/in, wie mithilfe des OWASP-Tools 'O-Saft' die wichtigsten Einstellungen der eigenen Server im Internet und - wofür es weniger Lösungen gibt - im eigenen LAN geprüft werden können. Dafür wird weder ein besonderer Client, noch ein Login, oder gar ein Clientzertifikat für den Zugriff auf den Server benötigt. In der neuesten Version von 'O-Saft' reicht die Installation der Programmiersprache 'Perl' für eine Analyse der SSL/TLS-Protokolle, Cipher und deren Priorisierung aus. Für die Analyse der restlichen Parameter und des Zertifikats werden lediglich Standard-Verschlüsselungsbibliotheken, wie z.B. OpenSSL benötigt. 'O-Saft' unterstützt außerdem beim Überprüfen der Protokolle und der Cipher STARTTLS für die 7 oben genannten, weiteren Dienste. Dabei ist das Programm sehr einfach zu bedienen.

Abschließend stellen wir Beispiel-Ergebnisse und Vergleiche mit anderen Tools vor.

Bruce Sams — Hacken und Absichern von iOS Anwendungen

Mobilanwendungen zeigen eine eigene Palette an Schwachstellen, die besondere Lösungen benötigen. In dieser Session werden aktuelle Schwachstellen und Absicherungsmaßnahmen für iOS-Anwendungen gezeigt. Themen wie Malicious Profiles, HTTP Request Hijacking, Certificate Pinning, binary Code Patching, undokumentierte iOS Dienste wie „pcapd“ usw. werden besprochen. Danach werden die neuen Sicherheitsfeatures in iOS erklärt und ein Vergleich mit iOS6 und iOS7 gemacht. Daraus kann man die Trends bei Apple erkennen und etwas über die zukünftigen Entwicklungen erraten. Zur Abrundung werden hilfreiche Tipps für die Erstellung von sicheren iOS Anwendungen gezeigt. Praxisbezogene Beispiele in Code und Konfiguration untermauern die Diskussion.

Closing Note: —

Sprecher / Speaker

(in alphabetischer Ordnung)

Amir Alsbih

Stefan Burgmair

Seba Deleersnyder

Torsten Gigler

Torsten Gigler - Dipl.-Ing. Elektrotechnik (Univ.) - Netz- und Unix-Sicherheit seit Ende der 90er Jahre - (Web-)Anwendungssicherheit seit 2001 - arbeitet seit 1993 in der IT eines Großunternehmens - bei OWASP seit 2 Jahren aktiv (z.B. Projektleiter 'OWASP Top 10 für Entwickler') - O-Saft-Nutzer und seit einem knappen Jahr in der Freizeit Mitentwickler (Analyse der SSL/TLS-Protokolle und Cipher durch Simulation der 1. Phase des Verbindingsaufbaus)

= Jerry Hoff

Achim Hoffmann

Achim Hoffmann is a senior security consultant for information security services, in particular anything related to (web) application security. He is regular speaker at conferences, writes articles and best pratice guides. He is member of the German OWASP Board. Achim initiated and developed the OWASP tool O-Saft for deep analyzes of SSL/TLS connections.

Giorgio Maone

Bruce Sams

Sebastian Schinzel

Florian Stahl

Florian Stahl is a German security and privacy consultant and evangelist. He is Master in information systems and computer science and has CISSP and CIPP/IT certifications. Currently Florian is Lead Consultant at msg systems in Munich. He is regular speaker at conferences and writes articles on his blog securitybydesign.de. Florian founded and leads the OWASP Top 10 Privacy Risks Project.

Walter Tighzert

Walter Tighzert is as a Senior Security Researcher at SAP SE and currently works on cloud security topics, in particular encryption in the cloud.


<top> <zurück> <Germany>