This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "AppSec Brasil 2010"

From OWASP
Jump to: navigation, search
(Conference Program - Day 2 - November 19th 2010)
(Copiando dados de português para ingles. Ainda falta traduzir.)
Line 390: Line 390:
 
Jason has also taught Advanced Web Application Security Testing and Building Secure Web Applications classes at OWASP 2008 conferences in Belgium and India.<br>  
 
Jason has also taught Advanced Web Application Security Testing and Building Secure Web Applications classes at OWASP 2008 conferences in Belgium and India.<br>  
  
Common remarks returned from Jason’s class evaluations include '''“This is probably one of the most important classes I‘ve been exposed to here”''' and '''“One of the best instructors I’ve ever had. Really knowledgeable of the subject. Kept class interested by sharing real life examples that depicted good scenarios”'''<br>  
+
Common remarks returned from Jason’s class evaluations include '''“This is probably one of the most important classes I‘ve been exposed to here”''' and '''“One of the best instructors I’ve ever had. Really knowledgeable of the subject. Kept class interested by sharing real life examples that depicted good scenarios”'''<br>
 +
 
 +
 
 +
== Utilizando a API de segurança OWASP ESAPI (Enterprise Security API) para prover segurança em aplicações Web ==
 +
 
 +
'''<span style="color: rgb(255, 0, 0);"> Treinamento em português. </span>'''
 +
 
 +
'''Data e horário: 16 de Novembro (9 às 18 horas)'''<br> '''Instrutor: Tarcizio Vieira Neto'''<br>
 +
 
 +
'''Resumo'''
 +
 
 +
A evolução da tecnologia no desenvolvimento de aplicações WEB tem contribuído com o aumento significativo do uso dessa tecnologia para atender os mais diversificados propósitos. Porém, essa tecnologia está sujeita a vulnerabilidades de segurança críticas, principalmente quando pesquisas recentes apontam que a maioria das vulnerabilidades estão presentes na própria aplicação. A biblioteca ESAPI (Enterprise Security API), da OWASP, surge neste cenário como uma biblioteca de segurança open source disponível para diversas linguagens, como Java EE, PHP, .NET, ASP Clássico, Python, Ruby, entre outras. O minicurso abordada as vulnerabilidades causadas por erros comuns no desenvolvimento de aplicações e os mecanismos de controle de segurança providos pela biblioteca ESAPI com o foco na tecnologia Java. Os princípios
 +
gerais aprendidos no curso podem ser aplicados no contexto das demais linguagens de programação.
 +
 
 +
 
 +
'''Público Alvo'''
 +
 
 +
O perfil desejado de audiência são pessoas ligadas à área de desenvolvimento e segurança de
 +
aplicações  Web,  tendo  como  pré-requisito  conhecimentos  básicos  em  tecnologias  Web,
 +
protocolos de comunicação HTTP e HTTPs, princípios básicos de segurança: criptografia, hash e assinatura digital,
 +
programação Java para sistemas Web.
 +
 
 +
 
 +
'''Objetivos de Aprendizado'''
 +
 
 +
* Conhecer as principais vulnerabilidades de segurança comumente encontradas em aplicações Web.
 +
* Apresentar a arquitetura da biblioteca ESAPI e o funcionamento de seus módulos com exemplos em código Java associados.
 +
* Apresentar o componente Web Application Firewall da ESAPI.
 +
 
 +
 
 +
'''Tópicos'''
 +
 
 +
# Introdução
 +
## Mitos relacionados à segurança em Aplicações Web
 +
## Projeto OWASP
 +
# OWASP Top 10
 +
# Biblioteca OWASP ESAPI
 +
## Módulo de Validação e Codificação
 +
## Módulo de Autenticação
 +
## Módulo de Controle de Acesso
 +
## Módulo de utilitários HTTP
 +
## Módulo de tratamento de referência de acesso
 +
## Módulo de Criptografia
 +
## Módulo de Log
 +
## Módulo de Detecção de Intrusão
 +
## Integrando o módulo AppSensor com a ESAPI
 +
## Utilizando Filtros
 +
## Configurando a ESAPI
 +
## Módulo Web Application Firewall da ESAPI
 +
# Vantagens do Uso da Biblioteca ESAPI
 +
# Conclusões
 +
 
 +
 
 +
'''O Instrutor'''
 +
 
 +
Tarcizio Vieira Neto é graduado em Ciência da Computação pela Universidade Federal de
 +
Goiás (UFG), em Goiânia. Começou a carreira de desenvolvedor como estagiário em  um projeto de iniciação tecnológica financiado pelo CNPq na empresa Estratégia, em Goiânia. Após concluir a graduação trabalhou por seis meses na empresa Fibonacci  Soluções Ageis, na mesma cidade, no cargo de analista de desenvolvimento. Em seguida trabalhou por dois anos e oito meses na Força Aérea Brasileira como oficial
 +
analista de sistemas do quadro complementar no Centro de Computação da Aeronáutica
 +
de Brasília, onde adquiriu experiência com a tecnologias de certificação digital e colaborou no
 +
desenvolvimento de um sistema corporativo de gestão eletrônica de documentos.
 +
 
 +
Atualmente trabalha no SERPRO desde novembro de 2009 como Analista de Desenvolvimento, na Coordenação Estratégica de Tecnologia – CETEC, desenvolvendo trabalhos sobre o tema segurança no desenvolvimento de software, desde novembro de 2009, onde dedica-se prioritariamente na elaboração de guias que padronizam técnicas e ferramentas que dão suporte à segurança no desenvolvimento de aplicações Web.
 +
Está cursando o curso de especialização em segurança da informação pela Universidade
 +
de Brasília (UnB) e possui ao todo
 +
mais de 5 anos de experiência com programação em Java.
 +
 
 +
 
 +
==The Art and Science of Threat Modeling Web Applications==
 +
 
 +
'''<span style="color: rgb(255, 0, 0);"> Atenção: Este treinamento será ministrado em inglês SEM tradução simultânea. </span>'''
 +
 
 +
'''Data e horário: 17 de Novembro (9 às 18 horas)'''<br> '''Instrutor: Mano Paul'''<br>
 +
 
 +
'''Resumo'''
 +
 
 +
To secure your home, you will first need to know how the thief could possibly enter and exit and where you should store your valuables. The same is true of your web applications. Unless you know what the vulnerabilities and threats of your web applications are, and what security measures you should take to protect them, ev1L [email protected] or the enemy within (insider) could take advantage of the vulnerabilities.
 +
Threat Modeling is a technique that you can use to identify ATVS (attacks, threats, vulnerabilities and safeguards) that could affect your web applications. Threat Modeling helps in designing your application securely from a confidentiality, integrity, availability, authentication, authorization and auditing perspective. It is an essential activity to be undertaken during the design stage of your SDLC and helps mitigate and minimize overall risk.
 +
 
 +
 
 +
'''Público Alvo'''
 +
 
 +
O público alvo é composto por pessoal técnico e gerencial de organizações de desenvolvimento de sistemas, sem requisitos de conhecimento de linguagens ou metodologias de propogamação especificos.
 +
 
 +
'''Objetivos de Aprendizado'''
 +
 
 +
# Understand Threat Modeling; when to threat model and when not too
 +
# Translation of threats to risks for the organization
 +
# Have fun learning complex concepts with exercises and interactive games
 +
 
 +
 
 +
'''Tópicos'''
 +
 
 +
Introduction
 +
# Why Threat Model?
 +
# Is Threat Modeling Right for You?
 +
# Challenges
 +
# Precursors
 +
# Data Classification and Threat Modeling
 +
# Web Application Security Mechanisms
 +
# Benefits of Threat Modeling
 +
# Common Glossary of Terms
 +
# Threat Agents
 +
# OWASP Top 10 and common application attacks
 +
# Threat Modeling Process
 +
# Attack Trees
 +
# Threat and Risk Frameworks e.g., STRIDE and DREAD
 +
# Threat to Risk translation
 +
# Threat Modeling (Hands-On Exercise)
 +
 
 +
 
 +
'''O Instrutor'''
 +
 
 +
Manoranjan (Mano) Paul is the Software Assurance Advisor for (ISC)2. His information security and software assurance experience includes designing and developing security programs from compliance-to-coding, security in the SDLC, writing secure code, risk management, security strategy, and security awareness training and education. He founded and serves as the CEO & President of Express Certifications. He also founded SecuRisk Solutions, a company that specializes in security product development and consulting.
 +
 
 +
 
 +
==Segurança em Arquitetura Orientada a Serviço==
 +
 
 +
'''<span style="color: rgb(255, 0, 0);"> Treinamento em português. </span>'''
 +
 
 +
'''Data e horário: 17 de Novembro (9 às 18 horas)'''<br> '''Instrutores: Douglas Rodrigues, Julio Cesar Estrella e Nuno Manuel dos Santos Antunes'''<br>
 +
 
 +
'''Resumo'''
 +
 
 +
Web services são a pedra angular de Arquiteturas Orientadas a Serviços (SOA). Como
 +
componentes críticos de negócios, Web Services devem apresentar alta segurança. No
 +
entanto, a implantação de Web Services seguros é uma tarefa complexa. De fato, diversos
 +
estudos mostram que um grande número de Web Services são implantados com falhas de
 +
segurança que vão desde vulnerabilidades de código (por exemplo, vulnerabilidades que
 +
permitem a injeção de código, incluindo SQL Injection e XPath Injection) até a utilização
 +
incorreta das normas e protocolos de segurança. O objetivo desse minicurso é o de apresentar
 +
de forma teórica e prática ferramentas que permitem a detecção de vulnerabilidades e
 +
mecanismos e protocolos de segurança contra ataques.
 +
 
 +
 
 +
'''Público Alvo'''
 +
 
 +
O público alvo é composto por pessoal técnico e operacional de organizações de desenvolvimento de sistemas, com requisitos de conhecimento de linguagens ou metodologias de propogamação especificos em nível intermediário.
 +
 
 +
'''Objetivos de Aprendizado'''
 +
 
 +
O minicurso proposto contribui para agregar novas tendências tecnológicas. O tema é bastante
 +
interessante no tocante aos grandes desafios da pesquisa em computação, uma vez que se
 +
insere de forma natural dentro do desenvolvimento tecnológico de qualidade, englobando por
 +
sua vez, sistemas disponíveis, corretos, seguros, escaláveis, persistentes e ubíquos, além de
 +
notoriamente, observando-se as conferências da área, que SOA, Web Services e segurança
 +
constituem tema de crescente investigação na área de computação, pois é atual e de interesse
 +
da comunidade acadêmica, bem como de profissionais que atuam amplamente no mercado de
 +
trabalho. O interesse por SOA tem crescido nos últimos anos por se tratar de uma abordagem
 +
que ajuda os sistemas a permanecerem escaláveis e flexíveis enquanto crescem, e que
 +
também pode auxiliar a resolver a lacuna negócio/TI. Os estudantes e profissionais da área
 +
terão a oportunidade de compreender os princípios básicos de detecção de vulnerabilidade em
 +
nível de código e também a detecção de ataques por meio de protocolos e mecanismos. A
 +
idéia é que os participantes possam utilizar o breve conhecimento adquirido neste minicurso
 +
para o desenvolvimento de aplicações distribuídas usando Web Services seguros e obterem
 +
conhecimento necessário para diagnosticar e prevenir ataques a esse tipo de aplicação.
 +
 
 +
'''Tópicos'''
 +
 
 +
# PADRÕES E PROTOCOLOS DE SEGURANÇA PAR WEB SERVICES
 +
# ATAQUES EM WEB SERVICES
 +
## Ataques de Negação de Serviço (Denial of Service)
 +
## Ataques de Força Bruta (Brute force)
 +
## Ataques Spoofing
 +
## Ataques de Inundação (Flooding)
 +
## Ataques por Injeção
 +
# AVALIANDO SEGURANÇA EM WEB SERVICES
 +
## Estudo de campo sobre segurança em Web Services
 +
## Análise “White-box”
 +
## Teste “Black-box”
 +
## Teste “Gray-box”
 +
## Estudo de campo sobre a eficácia de ferramentas de avaliação de segurança
 +
 
 +
'''O Instrutor'''
 +
 
 +
Júlio Cesar Estrella - Cursou Mestrado em Ciência da Computação e Matemática
 +
Computacional, na área de Sistemas Distribuídos (Instituto de Ciências Matemáticas e
 +
de Computação ICMC / Universidade de São Paulo – USP). Durante o Mestrado,
 +
trabalho com simulação de redes de filas em um projeto relacionado ao
 +
desenvolvimento de técnicas de negociação em modelos de servidores web com
 +
diferenciação de serviços. Doutor em Ciência da Computação e Matemática
 +
Computacional (Instituto de Ciências Matemáticas e de Computação ICMC /
 +
Universidade de São Paulo – USP). O tema do projeto de doutorado versou sobre
 +
arquiteturas orientadas a serviços com suporte à QoS, bem como caracterização de
 +
cargas de trabalho para Web Services e Composição de Serviços também com suporte
 +
à Qualidade de Serviço. Atualmente é professor da Universidade Tecnológica Federal
 +
do Paraná (UTFPR - Campo Mourão)
 +
 
 +
Douglas Rodrigues - Mestrando em Ciências de Computação e Matemática
 +
Computacional pelo Instituto de Ciências Matemáticas e de Computação da
 +
Universidade de São Paulo - ICMC-USP/São Carlos. Bacharel em Ciência da
 +
Computação pelo Centro Universitário Eurípides de Marília - UNIVEM - Marília/SP. Atua
 +
principalmente nos seguintes temas: SOA, Web Services, avaliação de desempenho,
 +
criptografia e segurança.
 +
 
 +
Nuno Manuel dos Santos Antunes - frequentou, entre 2003 e 2007, a Licenciatura em
 +
Engenharia Informática no Departamento de Engenharia Informática da Universidade de
 +
Coimbra. Desde 2008 que exerce investigação científica no grupo de Software and
 +
Systems Engineering (SSE) do Centro de Informática e Sistemas da Universidade de
 +
Coimbra (CISUC), em tópicos relacionados com metodologias e ferramentas para o
 +
desenvolvimento de Web Services sem vulnerabilidades. Concluiu em 2009 o Mestrado
 +
em Engenharia Informática no Departamento de Engenharia Informática da
 +
Universidade de Coimbra, com a classificação final de Muito Bom. Em 2009 iniciou o
 +
seu Doutoramento em Ciências e Tecnologias da Informação. Publicou 5 artigos
 +
científicos em conferências com processo de revisão pelos pares rigoroso, incluindo
 +
artigos nas conferências mais prestigiadas das áreas de confiabilidade e serviços.
 +
 
 +
 
 +
==Revisões de Segurança de Sistemas ASP.NET nos modos "black box" e "white-box" usando a plataforma OWASP O2==
 +
 
 +
'''<span style="color: rgb(255, 0, 0);"> Este treinamento será ministrado em português usando materiais em inglês. </span>'''
 +
 
 +
'''Data e horário: 16 de Novembro (9 às 18 horas)'''<br> '''Instrutor: Dinis Cruz'''<br>
 +
 
 +
'''Resumo'''
 +
 
 +
This is a hands-on Training course on how to use the OWASP O2 Platform to perform both Black-Box and White-Box security reviews on ASP.NET Web Applications
 +
 
 +
The course is designed for security consultants/developers who are responsible for performing Penetration Tests or Security Code Reviews. The course will show practical examples of how to use the OWASP O2 Platform to find, exploit and document security vulnerabities.
 +
 
 +
For the course's labs, a number of test and real-world applications/frameworks will be used. In order to give the students a benign test enviroment which is easy to replicate, the (vulnerable-by-design) HacmeBank ASP.NET banking application will be used throughout the course.
 +
 
 +
'''Tópicos'''
 +
 
 +
* What is the OWASP O2 Platform and how to use it?
 +
* Using O2's Unit Tests for web exploration and browsing
 +
* Using O2's Unit Tests for web exploitation
 +
* Understanding and using O2's Web Automation Tools to find and exploit vulnerabilities in HacmeBank (Black-Box)
 +
* Understanding and using O2's AST .NET Scanner to find vulnerabilities in HacmeBank (White-Box)
 +
* Connecting the source-code traces with the web exploits to create a unified view of the vulnerabilties
 +
* Create 'Vulnerability-driven Unit Tests' to be delivered to Developers, QA/Testers and Managers
 +
* Customizing and writing new APIs (for new or modified frameworks)
 +
* Using O2 to consume results from open source tools and 3rd party commercial vendors
 +
* Case Study: Microsoft ASP.NET MVC
 +
* Case Study: Microsoft Sharpoint
 +
 
 +
 
 +
'''O Instrutor'''
 +
 
 +
The course is delivered by Dinis Cruz who the lead developer of the OWASP O2 Platform and has created and delivered a number of .NET Security training courses
 +
 
 +
== Local dos treinamentos ==
 +
 
 +
A conferência será em Campinas, SP, na [http://www.cpqd.com.br Fundação CPQD].
 +
 
 +
Veja a localização usando o [http://maps.google.com.br/maps/ms?source=embed&hl=pt-BR&geocode=&ie=UTF8&update=1&t=h&msa=0&msid=104978801628275418750.000462bf2d1a49a7571af&ll=-22.83125,-47.044315&spn=0.03718,0.04034&z=14 Google Maps]
 +
 
 +
== Como chegar ==
 +
 
 +
TBD
  
 
==== Venue  ====
 
==== Venue  ====

Revision as of 23:44, 19 August 2010


LogoAppSecBrazil.002.jpg

Para a versão em português, veja em AppSec Brasil 2010 (pt-br)

OWASP AppSec Brasil 2010

The Second Edition of OWASP's flagship conference in South America will happen in Campinas, SP, Brazil. The Conference consists of two days of training sessions, followed by a two-day conference on a single track.

AppSec Brasil 2010 Campinas.jpg

Conference Dates

The conference will happen from November 16th, 2010 to November 19th, 2010. The first two days will be tutorial days (see below). Plenary sessions will be held on November 18th and 19th.

Proposal submission deadline extended to Sep. 23th.


About

About the conference

Following the success of the first AppSec Brasil, held in Brasilia in 2009, the OWASP Brazilian Chapter is organizing its second edition in 2010. AppSec Brasil 2010 will happen in the city of Campinas, located 90 km from São Paulo.

Campinas is the 3rd biggest city in the State of São Paulo and is an important economic center and hosts major universities and research centers. It is known to concentrate several high tech industries, including important multi-national companies in the fields of electronics, telecom and chemicals.

This year, we expect to gather a number of Brazilian and Latin American practitioners and researchers to share state-of-the-art information about application security.

Calls

**DEADLINE EXTENDED - 23 August**
**OWASP APPSEC BRASIL 2010**
**CALL FOR PRESENTATIONS**

Colleagues,

OWASP is currently soliciting presentations for the OWASP AppSec Brasil
2010 Conference that will take
place at CPqD Foundation in Campinas, SP, Brazil on November 16th
through 19th, 2010.  There will be
training courses on November 16th and 17th followed by plenary sessions
on the 18th and 19th with each
day having one single track.

We are seeking people and organizations that want to present on any of
the following topics (in no particular order):
- - Application Threat Modeling
- - Business Risks with Application Security
- - Hands-on Source Code Review
- - Metrics for Application Security
- - OWASP Tools and Projects
- - Privacy Concerns with Applications and Data Storage
- - Secure Coding Practices (J2EE/.NET)
- - Starting and Managing Secure Development Lifecycle Programs
- - Technology specific presentations on security such as AJAX, XML, etc
- - Web Application Security countermeasures
- - Web Application Security Testing
- - Web Services-, XML- and Application Security
- - Anything else relating to OWASP and Application Security

To make a submission you must fill out the form available
at http://www.owasp.org/images/f/f7/OWASP_AppSec_Brasil_2010_CFP.rtf.zip
and submit
through the easychair conference interface at
http://www.easychair.org/conferences/?conf=appsecbr2010

Each presenter will have 45 minutes for the presentation, followed by 10
minutes reserved for
questions from the audience. The presentations must respect the
restrictions of the OWASP Speaker Agreement.

**Important Dates:**
Submission deadline is August 23, 2010 at 11:59 PM (UTC/GMT -3).
Notification of acceptance is September 8, 2010.
Presentation slides are due September 30, 2010.

The conference organization team may be contacted by email at
organizacao2010 (at) appsecbrasil.org

For more information, please see the following web pages:

Conference Website:
 https://www.owasp.org/index.php/AppSec_Brasil_2010

OWASP Speaker Agreement:
 http://www.owasp.org/index.php/Speaker_Agreement

OWASP Website:
 http://www.owasp.org

Easychair conference site:
 http://www.easychair.org/conferences/?conf=appsecbr2010

Presentation proposal form:
 http://www.owasp.org/images/f/f7/OWASP_AppSec_Brasil_2010_CFP.rtf.zip

********** WARNING: Submissions without the information requested in the
 proposal form will not be considered ************

Please forward to all interested practitioners and colleagues

Call for training providers

**OWASP APPSEC BRASIL 2010**
**CALL FOR TRAINING SESSIONS**

Colleagues,

OWASP is currently soliciting training proposals for the OWASP
AppSec Brazil 2010 Conference which will take place at Fundação CPqD
in Campinas, SP, Brazil, on November 16 through November 19, 2010.
There will be training courses on November 16 and 17 followed by
plenary sessions on the 18 and 19 with one single track per day.

We are seeking training proposals on the following topics (in no
particular order):
- Application Threat Modeling
- Business Risks with Application Security
- Hands-on Source Code Review
- Metrics for Application Security
- OWASP Tools and Projects
- Privacy Concerns with Applications and Data Storage
- Secure Coding Practices (J2EE/.NET)
- Starting and Managing Secure Development Lifecycle Programs
- Technology specific presentations on security such as AJAX, XML, etc
- Web Application Security countermeasures
- Web Application Security Testing
- Web Services, XML- and Application Security
- Anything else relating to OWASP and Application Security

Proposals on topics not listed above but related to the conference
(i.e. which are related to Application Security) may also be accepted.

To make a submission you must fill out the form available at
http://www.owasp.org/images/1/1a/OWASP_AppSec_Brasil_2010_CFT.rtf.zip
and submit by email to [email protected]

There may be 1 or 2-day courses. The proposals must respect the
restrictions of the OWASP Speaker Agreement. The conference will
reward trainers with at least 30% of the total revenue of their
courses, based on a minimum attendance. Courses that attract more
students may be granted higher percentages. No other compensation
(such as tickets or lodging) will be provided. If you require a
different arrangement, please contact the conference chair at the
email address below.

**Compensation**
Instructors and authors will be paid based on the number of students
in their training sessions. If the training gathers only the minimum
number of students, the compensation will be 30% of the revenue. For
each group of 10 extra students enrolled, the compensation will be
increased by 5% of the revenue, up to a maximum of 45% of the training
revenue. For example, a 1-day training with 10 to 19 students will
generate a compensation of 30% of the revenue. For classes of 20 to 29
students, the compensation raises to 35% percent of the revenue.

In exceptional cases, different compensation schemes may be accepted.
Please contact the conference organization team by email
([email protected]) for details.

**Training cost**
 1-day training: R$ 450 per student
 2-day training: R$ 900 per student
All prices in Brazilian Reais (BRL)

**Minimum number of students**
 1-day trainings: 10 students
 2-day trainings: 20 students

**Important Dates:**
 Submission deadline is July 26, 2010, at 11:59 PM (UTC/GMT-3).
 Notification of acceptance will be August 16, 2010.
 Final version is due September 15, 2010.

The conference organization team may be contacted by email at
organizacao2010 (at) appsecbrasil.org

For more information, please see the following web pages:
 Conference Website: https://www.owasp.org/index.php/AppSec_Brasil_2010
 OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement
 OWASP Website: http://www.owasp.org
 Easychair conference site:
http://www.easychair.org/conferences/?conf=appsecbr2010
 Presentation proposal form:
http://www.owasp.org/images/1/1a/OWASP_AppSec_Brasil_2010_CFT.rtf.zip

********** WARNING: Submissions without all the information requested
in the proposal form will not be considered ************

Sponsorship

We are currently soliciting sponsors for the AppSec Brasil 2010 Conference. Detailed sponsorship oportunities are now available.

If you are interested in sponsoring AppSec Brasil 2010, please contact the Conference Organization Team ([email protected]).

Sponsors

Platinum Sponsors

AppSec Brasil 2010 CPQD.jpg
 

Gold Sponsors

LeadComm Logo Screen.jpg
Logo PagSeguro-Uma empresa-UOL.jpg
 

Silver Sponsors


Attendee Kit Sponsors

Logotipo Conviso 2009 Cor.png
LgClavis.png
 


Appsec Brasil 2010 InstitutoTuring.png

Keynotes

Robert 'Rsnake' Hansen

SecTheory

Title: TBD.

Bio: Robert Hansen aka RSnake is the CEO and founder of SecTheory. He has worked for Digital Island, Exodus Communications and Cable & Wireless in varying roles from Sr. Security Architect and eventually product managing many of the managed security services product lines. He also worked at eBay as a Sr. Global Product Manager of Trust and Safety, focusing on anti-phishing, anti-DHTML malware and anti-virus strategies. Later he worked as a director of product management for Realtor.com. Robert sits on the advisory board for the Intrepidus Group, previously sat on the technical advisory board of ClickForensics and currently contributes to the security strategy of several startup companies.

Mr. Hansen wrote Detecting Malice, authors content on O'Reilly and co-authored "XSS Exploits" by Syngress publishing. He sits on the NIST.gov Software Assurance Metrics and Tool Evaluation group focusing on web application security scanners and the Web Application Security Scanners Evaluation Criteria (WASC-WASSEC) group. He also has briefed the DoD at the Pentagon and speaks at SourceBoston, Secure360, GFIRST/US-CERT, CSI, Toorcon, APWG, ISSA, TRISC, World OWASP/WASC conferences, SANS, Microsoft's Bluehat, Blackhat, DefCon, SecTor, BSides, Networld+Interop, and has been the keynote speaker at the New York Cyber Security Conference, NITES and OWASP Appsec Asia. Mr. Hansen is a member of Infragard, West Austin Rotary, WASC, IACSP, APWG, contributed to the OWASP 2.0 guide and is on the OWASP Connections Committee.

Robert also maintains the http://ha.ckers.org website where he discuss web application security and provides lots of useful content to be used against web application attacks.

Jeremiah Grossman

WhiteHat Security

Title: TBD.

Bio: Jeremiah Grossman, founder and CTO, WhiteHat Security, is a world-renowned Web security expert. A co-founder of the Web Application Security Consortium (WASC), he was named to InfoWorld's Top 25 CTOs in 2007 and is frequently quoted by business and technical media. He has authored dozens of articles and whitepapers, is credited with the discovery of many cutting-edge attack and defensive techniques, and is a co-author of "XSS Attacks: Cross Site Scripting Exploits and Defense." Grossman is also an influential blogger who offers insight and encourages open dialogue regarding Web security research and trends. Prior to WhiteHat, Grossman was an information security officer at Yahoo!


Agenda

Conference Program - Day 1 - November 18th 2010

08:30 - 09:00 Reception Desk Open
09:00 - 09:30 Opening Ceremony
09:30 - 10:30 Dinis Cruz
About OWASP
10:30 - 10:50 Break
10:50 - 12:20 Robert 'RSnake' Hansen
TBD
12:20 - 14:00 Lunch Break
14:00 - 14:50 TBD
TBD
14:50 - 15:40 TBD
TBD
15:40 - 16:00 Break
16:00 - 16:50 TBD
TBD
16:50 - 17:40 TBD
TBD
17:40 - 18:30 Invited Speaker
TBD
18:30 - 18:35 End of the First Day


Conference Program - Day 2 - November 19th 2010

08:30 - 09:00 Reception Desk Open
09:00 - 10:30 Jeremiah Grossman
TBD
10:30 - 10:50 Break
10:30 - 11:40 TBD
TBD
11:40 - 12:30 TBD
TBD
12:30 - 14:00 Lunch Break
14:00 - 14:50 Invited Speaker
TBD
14:50 - 15:40 TBD
TBD
15:40 - 16:10 Cel. Monclaro
Presentation of RENASIC
16:10 - 16:30 Break
16:30 - 17:20 TBD
TBD
17:20 - 18:10 TBD
TBD
18:10 - 18:30 End of the Conference


Trainings

Aspect logo.png

Secure Coding for J2EE Applications

Jasonli appsecBR2010.jpg
Date and time: November 16th and 17th
Instructor: Jason Li
Summary
Training developers on secure coding practices offers one of the highest returns on investment of any security investment by eliminating vulnerabilities at the source. Aspect’s Java EE Secure Coding Training raises developer awareness of application security issues and provides examples of ‘what to do’ and ‘what not to do.' The class is lead by an experienced developer and is delivered in a very interactive manner. This class includes hands-on exercises where the students get to perform security analysis and testing on a live Java EE web application. This specially designed environment includes deliberate flaws the students have to find, diagnose, and fix. The class also uses Java EE coding exercises to provide students with realistic hands-on secure coding experience. Students gain hands-on experience using freely available web application security test tools to find and diagnose flaws and learn to avoid them in their own code.

Audience
The intended audience for this course is intended for Java EE software developers and Java EE software testers who know how to program.

Learning Objectives
At the highest level, the objective for this course is to ensure that developers are capable of designing, building, and testing secure Java EE applications and understand why this is important.

Topics

  • HTTP Fundamentals
    • Understand and be able to employ the security features involved with using HTTP (e.g., headers, cookies, SSL)
  • Design Principles and Patterns
    • Understand and be able to apply application security design principles.
  • Threats
    • Be able to identify and explain common web application security threats (e.g. , cross-site scripting, SQL injection, denial of service attacks, "Man-in-the-middle" attacks, etc.) and implement mitigation techniques.
  • Authentication and Session Management
    • Be able to handle credentials securely while providing the full range of authentication support functions, including login, change password, forgot password, remember password, logout, reauthentication, and timeouts.
  • Access Control
    • Be able to implement access control rules for the user interface, business logic, and data layers.
  • Input Validation
    • Be able to recognize potential input validation issues, particularly injection and Cross-site Scripting (XSS) problems, and implement appropriate input validation mechanisms for user input and other sources of input.
  • Command Injection
    • Understand the dangers of command injection and techniques for avoiding the introduction of this type vulnerability.
  • Error Handling
    • Be able to implement a consistent error (exception) handling and logging approach for an entire web application.
  • Cryptography
    • Learn when to apply cryptographic techniques and be able to choose algorithms and use encryption/decryption and hash functions securely.

Jason’s Bio
Jason is a remarkable trainer, mastering five different training courses within a year’s time to our most valuable longstanding but diverse clients. The client base included a large financial institution, several leading shipping and logistics Management Company, and a leading Government systems integrator.

Jason has also taught Advanced Web Application Security Testing and Building Secure Web Applications classes at OWASP 2008 conferences in Belgium and India.

Common remarks returned from Jason’s class evaluations include “This is probably one of the most important classes I‘ve been exposed to here” and “One of the best instructors I’ve ever had. Really knowledgeable of the subject. Kept class interested by sharing real life examples that depicted good scenarios”


Utilizando a API de segurança OWASP ESAPI (Enterprise Security API) para prover segurança em aplicações Web

Treinamento em português.

Data e horário: 16 de Novembro (9 às 18 horas)
Instrutor: Tarcizio Vieira Neto

Resumo

A evolução da tecnologia no desenvolvimento de aplicações WEB tem contribuído com o aumento significativo do uso dessa tecnologia para atender os mais diversificados propósitos. Porém, essa tecnologia está sujeita a vulnerabilidades de segurança críticas, principalmente quando pesquisas recentes apontam que a maioria das vulnerabilidades estão presentes na própria aplicação. A biblioteca ESAPI (Enterprise Security API), da OWASP, surge neste cenário como uma biblioteca de segurança open source disponível para diversas linguagens, como Java EE, PHP, .NET, ASP Clássico, Python, Ruby, entre outras. O minicurso abordada as vulnerabilidades causadas por erros comuns no desenvolvimento de aplicações e os mecanismos de controle de segurança providos pela biblioteca ESAPI com o foco na tecnologia Java. Os princípios gerais aprendidos no curso podem ser aplicados no contexto das demais linguagens de programação.


Público Alvo

O perfil desejado de audiência são pessoas ligadas à área de desenvolvimento e segurança de aplicações Web, tendo como pré-requisito conhecimentos básicos em tecnologias Web, protocolos de comunicação HTTP e HTTPs, princípios básicos de segurança: criptografia, hash e assinatura digital, programação Java para sistemas Web.


Objetivos de Aprendizado

  • Conhecer as principais vulnerabilidades de segurança comumente encontradas em aplicações Web.
  • Apresentar a arquitetura da biblioteca ESAPI e o funcionamento de seus módulos com exemplos em código Java associados.
  • Apresentar o componente Web Application Firewall da ESAPI.


Tópicos

  1. Introdução
    1. Mitos relacionados à segurança em Aplicações Web
    2. Projeto OWASP
  2. OWASP Top 10
  3. Biblioteca OWASP ESAPI
    1. Módulo de Validação e Codificação
    2. Módulo de Autenticação
    3. Módulo de Controle de Acesso
    4. Módulo de utilitários HTTP
    5. Módulo de tratamento de referência de acesso
    6. Módulo de Criptografia
    7. Módulo de Log
    8. Módulo de Detecção de Intrusão
    9. Integrando o módulo AppSensor com a ESAPI
    10. Utilizando Filtros
    11. Configurando a ESAPI
    12. Módulo Web Application Firewall da ESAPI
  4. Vantagens do Uso da Biblioteca ESAPI
  5. Conclusões


O Instrutor

Tarcizio Vieira Neto é graduado em Ciência da Computação pela Universidade Federal de Goiás (UFG), em Goiânia. Começou a carreira de desenvolvedor como estagiário em um projeto de iniciação tecnológica financiado pelo CNPq na empresa Estratégia, em Goiânia. Após concluir a graduação trabalhou por seis meses na empresa Fibonacci Soluções Ageis, na mesma cidade, no cargo de analista de desenvolvimento. Em seguida trabalhou por dois anos e oito meses na Força Aérea Brasileira como oficial analista de sistemas do quadro complementar no Centro de Computação da Aeronáutica de Brasília, onde adquiriu experiência com a tecnologias de certificação digital e colaborou no desenvolvimento de um sistema corporativo de gestão eletrônica de documentos.

Atualmente trabalha no SERPRO desde novembro de 2009 como Analista de Desenvolvimento, na Coordenação Estratégica de Tecnologia – CETEC, desenvolvendo trabalhos sobre o tema segurança no desenvolvimento de software, desde novembro de 2009, onde dedica-se prioritariamente na elaboração de guias que padronizam técnicas e ferramentas que dão suporte à segurança no desenvolvimento de aplicações Web. Está cursando o curso de especialização em segurança da informação pela Universidade de Brasília (UnB) e possui ao todo mais de 5 anos de experiência com programação em Java.


The Art and Science of Threat Modeling Web Applications

Atenção: Este treinamento será ministrado em inglês SEM tradução simultânea.

Data e horário: 17 de Novembro (9 às 18 horas)
Instrutor: Mano Paul

Resumo

To secure your home, you will first need to know how the thief could possibly enter and exit and where you should store your valuables. The same is true of your web applications. Unless you know what the vulnerabilities and threats of your web applications are, and what security measures you should take to protect them, ev1L [email protected] or the enemy within (insider) could take advantage of the vulnerabilities. Threat Modeling is a technique that you can use to identify ATVS (attacks, threats, vulnerabilities and safeguards) that could affect your web applications. Threat Modeling helps in designing your application securely from a confidentiality, integrity, availability, authentication, authorization and auditing perspective. It is an essential activity to be undertaken during the design stage of your SDLC and helps mitigate and minimize overall risk.


Público Alvo

O público alvo é composto por pessoal técnico e gerencial de organizações de desenvolvimento de sistemas, sem requisitos de conhecimento de linguagens ou metodologias de propogamação especificos.

Objetivos de Aprendizado

  1. Understand Threat Modeling; when to threat model and when not too
  2. Translation of threats to risks for the organization
  3. Have fun learning complex concepts with exercises and interactive games


Tópicos

Introduction

  1. Why Threat Model?
  2. Is Threat Modeling Right for You?
  3. Challenges
  4. Precursors
  5. Data Classification and Threat Modeling
  6. Web Application Security Mechanisms
  7. Benefits of Threat Modeling
  8. Common Glossary of Terms
  9. Threat Agents
  10. OWASP Top 10 and common application attacks
  11. Threat Modeling Process
  12. Attack Trees
  13. Threat and Risk Frameworks e.g., STRIDE and DREAD
  14. Threat to Risk translation
  15. Threat Modeling (Hands-On Exercise)


O Instrutor

Manoranjan (Mano) Paul is the Software Assurance Advisor for (ISC)2. His information security and software assurance experience includes designing and developing security programs from compliance-to-coding, security in the SDLC, writing secure code, risk management, security strategy, and security awareness training and education. He founded and serves as the CEO & President of Express Certifications. He also founded SecuRisk Solutions, a company that specializes in security product development and consulting.


Segurança em Arquitetura Orientada a Serviço

Treinamento em português.

Data e horário: 17 de Novembro (9 às 18 horas)
Instrutores: Douglas Rodrigues, Julio Cesar Estrella e Nuno Manuel dos Santos Antunes

Resumo

Web services são a pedra angular de Arquiteturas Orientadas a Serviços (SOA). Como componentes críticos de negócios, Web Services devem apresentar alta segurança. No entanto, a implantação de Web Services seguros é uma tarefa complexa. De fato, diversos estudos mostram que um grande número de Web Services são implantados com falhas de segurança que vão desde vulnerabilidades de código (por exemplo, vulnerabilidades que permitem a injeção de código, incluindo SQL Injection e XPath Injection) até a utilização incorreta das normas e protocolos de segurança. O objetivo desse minicurso é o de apresentar de forma teórica e prática ferramentas que permitem a detecção de vulnerabilidades e mecanismos e protocolos de segurança contra ataques.


Público Alvo

O público alvo é composto por pessoal técnico e operacional de organizações de desenvolvimento de sistemas, com requisitos de conhecimento de linguagens ou metodologias de propogamação especificos em nível intermediário.

Objetivos de Aprendizado

O minicurso proposto contribui para agregar novas tendências tecnológicas. O tema é bastante interessante no tocante aos grandes desafios da pesquisa em computação, uma vez que se insere de forma natural dentro do desenvolvimento tecnológico de qualidade, englobando por sua vez, sistemas disponíveis, corretos, seguros, escaláveis, persistentes e ubíquos, além de notoriamente, observando-se as conferências da área, que SOA, Web Services e segurança constituem tema de crescente investigação na área de computação, pois é atual e de interesse da comunidade acadêmica, bem como de profissionais que atuam amplamente no mercado de trabalho. O interesse por SOA tem crescido nos últimos anos por se tratar de uma abordagem que ajuda os sistemas a permanecerem escaláveis e flexíveis enquanto crescem, e que também pode auxiliar a resolver a lacuna negócio/TI. Os estudantes e profissionais da área terão a oportunidade de compreender os princípios básicos de detecção de vulnerabilidade em nível de código e também a detecção de ataques por meio de protocolos e mecanismos. A idéia é que os participantes possam utilizar o breve conhecimento adquirido neste minicurso para o desenvolvimento de aplicações distribuídas usando Web Services seguros e obterem conhecimento necessário para diagnosticar e prevenir ataques a esse tipo de aplicação.

Tópicos

  1. PADRÕES E PROTOCOLOS DE SEGURANÇA PAR WEB SERVICES
  2. ATAQUES EM WEB SERVICES
    1. Ataques de Negação de Serviço (Denial of Service)
    2. Ataques de Força Bruta (Brute force)
    3. Ataques Spoofing
    4. Ataques de Inundação (Flooding)
    5. Ataques por Injeção
  3. AVALIANDO SEGURANÇA EM WEB SERVICES
    1. Estudo de campo sobre segurança em Web Services
    2. Análise “White-box”
    3. Teste “Black-box”
    4. Teste “Gray-box”
    5. Estudo de campo sobre a eficácia de ferramentas de avaliação de segurança

O Instrutor

Júlio Cesar Estrella - Cursou Mestrado em Ciência da Computação e Matemática Computacional, na área de Sistemas Distribuídos (Instituto de Ciências Matemáticas e de Computação ICMC / Universidade de São Paulo – USP). Durante o Mestrado, trabalho com simulação de redes de filas em um projeto relacionado ao desenvolvimento de técnicas de negociação em modelos de servidores web com diferenciação de serviços. Doutor em Ciência da Computação e Matemática Computacional (Instituto de Ciências Matemáticas e de Computação ICMC / Universidade de São Paulo – USP). O tema do projeto de doutorado versou sobre arquiteturas orientadas a serviços com suporte à QoS, bem como caracterização de cargas de trabalho para Web Services e Composição de Serviços também com suporte à Qualidade de Serviço. Atualmente é professor da Universidade Tecnológica Federal do Paraná (UTFPR - Campo Mourão)

Douglas Rodrigues - Mestrando em Ciências de Computação e Matemática Computacional pelo Instituto de Ciências Matemáticas e de Computação da Universidade de São Paulo - ICMC-USP/São Carlos. Bacharel em Ciência da Computação pelo Centro Universitário Eurípides de Marília - UNIVEM - Marília/SP. Atua principalmente nos seguintes temas: SOA, Web Services, avaliação de desempenho, criptografia e segurança.

Nuno Manuel dos Santos Antunes - frequentou, entre 2003 e 2007, a Licenciatura em Engenharia Informática no Departamento de Engenharia Informática da Universidade de Coimbra. Desde 2008 que exerce investigação científica no grupo de Software and Systems Engineering (SSE) do Centro de Informática e Sistemas da Universidade de Coimbra (CISUC), em tópicos relacionados com metodologias e ferramentas para o desenvolvimento de Web Services sem vulnerabilidades. Concluiu em 2009 o Mestrado em Engenharia Informática no Departamento de Engenharia Informática da Universidade de Coimbra, com a classificação final de Muito Bom. Em 2009 iniciou o seu Doutoramento em Ciências e Tecnologias da Informação. Publicou 5 artigos científicos em conferências com processo de revisão pelos pares rigoroso, incluindo artigos nas conferências mais prestigiadas das áreas de confiabilidade e serviços.


Revisões de Segurança de Sistemas ASP.NET nos modos "black box" e "white-box" usando a plataforma OWASP O2

Este treinamento será ministrado em português usando materiais em inglês.

Data e horário: 16 de Novembro (9 às 18 horas)
Instrutor: Dinis Cruz

Resumo

This is a hands-on Training course on how to use the OWASP O2 Platform to perform both Black-Box and White-Box security reviews on ASP.NET Web Applications

The course is designed for security consultants/developers who are responsible for performing Penetration Tests or Security Code Reviews. The course will show practical examples of how to use the OWASP O2 Platform to find, exploit and document security vulnerabities.

For the course's labs, a number of test and real-world applications/frameworks will be used. In order to give the students a benign test enviroment which is easy to replicate, the (vulnerable-by-design) HacmeBank ASP.NET banking application will be used throughout the course.

Tópicos

  • What is the OWASP O2 Platform and how to use it?
  • Using O2's Unit Tests for web exploration and browsing
  • Using O2's Unit Tests for web exploitation
  • Understanding and using O2's Web Automation Tools to find and exploit vulnerabilities in HacmeBank (Black-Box)
  • Understanding and using O2's AST .NET Scanner to find vulnerabilities in HacmeBank (White-Box)
  • Connecting the source-code traces with the web exploits to create a unified view of the vulnerabilties
  • Create 'Vulnerability-driven Unit Tests' to be delivered to Developers, QA/Testers and Managers
  • Customizing and writing new APIs (for new or modified frameworks)
  • Using O2 to consume results from open source tools and 3rd party commercial vendors
  • Case Study: Microsoft ASP.NET MVC
  • Case Study: Microsoft Sharpoint


O Instrutor

The course is delivered by Dinis Cruz who the lead developer of the OWASP O2 Platform and has created and delivered a number of .NET Security training courses

Local dos treinamentos

A conferência será em Campinas, SP, na Fundação CPQD.

Veja a localização usando o Google Maps

Como chegar

TBD

Venue

The event will be held in Campinas, SP, Brazil at: Fundação CPQD.

You can check the location at Google Maps

How to get there

TBD

Registration

Online Registration

Registration form will be available shortly.

Conference Fees

Access to conference:

  • Before Sep 16th: 400.00 BRL
  • Before Oct 16th: 500.00 BRL
  • Before Nov 12th: 550.00 BRL
  • On site: 600.00 BRL

On site registration subject to the availability of seats.

Trainings

  • One day: 450.00 BRL
  • Two days: 900.00 BRL

Discounts

  • OWASP Member: 100.00 BRL (Note: This discount is greater than the OWASP USD 50.00 annual fee. Check here
  • Student: 100.00 BRL (Note: student ID required).

Committees

Conference Committee

OWASP Global Conferences Committee Chair: Mark Bristow

OWASP Brazilian Chapter Leader: Wagner Elias

AppSec Brasil 2010 Organization Team (organizacao2010 at appsecbrasil.org):

  • Conference General Chair: Lucas C. Ferreira
  • Tutorials Chair: Eduardo Camargo Neves
  • Tracks Chair: Luiz Otávio Duarte
  • Local Chair: Alexandre Melo Braga

Team Members

  • Alexandre Melo Braga
  • Eduardo Camargo Neves
  • Lucas C. Ferreira
  • Luiz Otávio Duarte
  • Wagner Elias
  • Eduardo Alves Nonato da Silva
  • Leonardo Buonsanti
  • Dinis Cruz
  • Paulo Coimbra


Programme Committee:

  • Alexandre Braga
  • Carlos Serrao
  • Eduardo alves
  • Fernando Cima
  • Leonardo Buonsanti
  • Lucas Ferreira
  • Luiz Duarte
  • Nelson Uto
  • Rodrigo Rubira
  • Wagner Elias



Travel

TBD

Links

Blog: http://blog.appsecbrasil.org

Twitter: http://twitter.com/owaspappsecbr

Banner: AppSec_Brasil_2010_Banner.gif