ISCTE - Lisbon University Institute |

IBWAS'09 (last year editon)

11 - 12 November 2010

(a joint organization of the Portuguese and Spanish OWASP chapters)



IBWAS'10, the 2nd. Ibero-American Web Application Security conference will be held in Lisbon (Portugal), on the 11th and 12th November 2010.

The conference will take place at the ISCTE - Lisbon University Institute. The location details can be found here.

Conference proceedings will be published by Springer in the Communications in Computer and Information Science (CCIS) series.

This conference aims to bring together application security experts, researchers, educators and practitioners from the industry, academia and international communities such as OWASP, in order to discuss open problems and new solutions in application security. In the context of this track academic researchers will be able to combine interesting results with the experience of practitioners and software engineers.

In addition to the technical issues of the conference programme, our website provides you with tourist information on the city of Lisbon, unique for its cultural and historical richness, lovely surroundings and other nice places to visit around the city.

Who Should Attend IBWAS'10:

  • Academics
  • Researchers
  • Lifelong learning educators
  • Technical staff
  • Secondary, vocational, or tertiary educators
  • Professionals from the private and public sector
  • Technologists and Scientifics
  • School counsellors, principals and teachers
  • Education policy development representatives
  • General personnel from vocational sectors
  • Student counsellors
  • Career/employment officers
  • Education advisers
  • Student Unions
  • Bridging program lecturers & support staff
  • Library personnel
  • International support and services staff
  • Open learning specialists
  • Application Developers
  • Application Testers and Quality Assurance
  • Application Project Management and Staff
  • Chief Information Officers, Chief Information Security Officers, Chief Technology Officers, Deputies, Associates and Staff
  • Chief Financial Officers, Auditors, and Staff Responsible for IT Security Oversight and Compliance
  • Security Managers and Staff
  • Executives, Managers, and Staff Responsible for IT Security Governance
  • IT Professionals Interesting in Improving IT Security

...and any person interested in Web Application and Services Security and Information Security in general.

We look forward to seeing you in Lisbon!



Call for Papers

Call for Papers (english version)

#Call for Papers (portuguese version) #Call for Papers (spanish version)

You can find here a PDF version of the Call for Papers. Also in Portuguese (Português)


There is a change in the information systems development paradigm. The emergence of Web 2.0 technologies led to the extensive deployment and use of web-based applications and web services as a way to developed new and flexible information systems. Such systems are easy to develop, deploy and maintain and demonstrate impressive features for users, resulting in their current wide use.

As a result of this paradigm shift, the security requirements have also changed. These web-based information systems have different security requirements, when compared to traditional systems. Important security issues have been found and privacy concerns have also been raised recently. In addition, the emerging Cloud Computing paradigm promises even greater flexibility; however corresponding security and privacy issues still need to be examined. The security environment should involve not only the surrounding environment but also the application core.

This conference aims to bring together application security experts, researchers, educators and practitioners from the industry, academia and international communities such as OWASP, in order to discuss open problems and new solutions in application security. In the context of this track academic researchers will be able to combine interesting results with the experience of practitioners and software engineers.

Conference Topics

Suggested topics for papers submission include (but are not limited to):

  • Secure application development
  • Security of service oriented architectures
  • Security of development frameworks
  • Threat modelling of web applications
  • Cloud computing security
  • Web applications vulnerabilities and analysis (code review, pen-test, static analysis etc.)
  • Metrics for application security
  • Countermeasures for web application vulnerabilities
  • Secure coding techniques
  • Platform or language security features that help secure web applications
  • Secure database usage in web applications
  • Access control in web applications
  • Web services security
  • Browser security
  • Privacy in web applications
  • Standards, certifications and security evaluation criteria for web applications
  • Application security awareness and education
  • Security for the mobile web
  • Attacks and Vulnerability Exploitation

Paper Submission Instructions

Authors should submit an original paper in English, carefully checked for correct grammar and spelling, using the on-line submission procedure (submission site). Please check the paper formats so you may be aware of the accepted paper page limits (12 pages, in accordance to a supplied template, that can be downloaded from here: in Word Format).

The guidelines for paper formatting provided at the conference web site must be strictly used for all submitted papers. The submission format is the same as the camera-ready format. Please check and carefully follow the instructions and templates provided.

Each paper should clearly indicate the nature of its technical/scientific contribution, and the problems, domains or environments to which it is applicable.

Papers that are out of the conference scope or contain any form of plagiarism will be rejected without reviews.

Remarks about the on-line submission procedure:

1. A "double-blind" paper evaluation method will be used. To facilitate that, the authors are kindly requested to produce and provide the paper, WITHOUT any reference to any of the authors. This means that is necessary to remove the author’s personal details, the acknowledgements section and any reference that may disclose the authors identity

2. Papers in ODF, PDF, DOC, DOCX or RTF format are accepted

3. The web submission procedure automatically sends an acknowledgement, by e-mail, to the contact author.

Regular Paper Submission

A regular paper presents a work where the research is completed or almost finished. It does not necessary means that the acceptance is as a full paper. It may be accepted as a "full paper" (30 min. oral presentation), a "short paper" (15 min. oral presentation) or a "poster".

Position Paper Submission

A position paper presents an arguable opinion about an issue. The goal of a position paper is to convince the audience that your opinion is valid and worth listening to, without the need to present completed research work and/or validated results. It is, nevertheless, important to support your argument with evidence to ensure the validity of your claims. A position paper may be a short report and discussion of ideas, facts, situations, methods, procedures or results of scientific research (bibliographic, experimental, theoretical, or other) focused on one of the conference topic areas. The acceptance of a position paper is restricted to the categories of "short paper" or "poster", i.e. a position paper is not a candidate to acceptance as "full paper".

After the reviewing process is completed, the contact author (the author who submits the paper) of each paper will be notified of the result, by e-mail. The authors are required to follow the reviews in order to improve their paper before the camera-ready submission.

All accepted papers will be published in the conference proceedings, under an ISBN reference. Conference proceedings will be published by Springer in the Communications in Computer and Information Science (CCIS) series.



E-mail: [email protected]

Important Dates

Submission of papers and all other contributions due: 24th September 2010

Notification of acceptance: 8th October 2010

Camera-ready version of accepted contributions: 15th October 2010

Conference: 11th – 12th November 2010

Call for Papers (portuguese version)


Existe uma mudança profunda no paradigma de desenvolvimento de sistemas de informação nos nossos dias. A emergência de tecnologias Web 2.0 levaram a um desenvolvimento e implantação massiva de aplicações e serviços Web, como a forma de desenvolvimento de sistemas de informação flexíveis. Tais sistemas são simples de desenvolver, instalar e manter e demonstram um conjunto de funcionalidades atractivas para os utilizadores, o que as tornam tão apetecíveis.

Como resultado desta mudança paradigmática, os requisitos de segurança também se alteraram. Estes sistemas de informação baseados na Web possuem diferentes requisitos de segurança, quando comparados com sistemas tradicionais. Neste tipo de sistemas é possível encontrar aspectos importantes de segurança e de privacidade que podem afectar a forma como os mesmos operam e comprometer os seus utilizadores. Acresce o facto de que a emergência da Computação na Nuvem, que promete ainda mais flexibilidade, tem ainda um impacto mais forte nestes requisitos de segurança e de privacidade. O ambiente de segurança deve envolver não apenas o ambiente circundante mas igualmente o núcleo aplicacional.

Esta conferência pretende juntar peritos em segurança aplicacional, investigadores, educadores e profissionais da indústria, academia e comunidades internacionais como a OWASP, por forma a discutirem de forma aberta os problemas e as soluções de segurança aplicacional. Neste contexto, investigadores provenientes da academia e da indústria poderão combinar os resultados da sua investigação com a experiência de profissionais e de engenheiros de software.

Temas da Conferência

Os temas sugeridos para submissão de trabalhos incluem os seguintes (mas não se limitam apenas aos listados):

  • Desenvolvimento Seguro de Aplicações
  • Segurança de Arquitecturas Orientadas por Serviços
  • Segurança das Estruturas e Ferramentas de Desenvolvimento
  • Modelação de Ameaças a Aplicações Web
  • Segurança em Cloud Computing
  • Vulnerabilidades e Análise de Aplicações Web (revisão de código, testes de penetração, análise estática, etc)
  • Métricas para Segurança Aplicacional
  • Contra-medidas para Vulnerabilidades em Aplicações Web
  • Técnicas de Desenvolvimento e Codificação em Segurança
  • Funcionalidades da Plataforma ou Linguagem de Desenvolvimento para a Segurança de Aplicações Web
  • Utilização Segura de Bases de Dados em Aplicações Web
  • Controlo de Acesso em Aplicações Web
  • Segurança em Serviços Web
  • Segurança do Browser Web
  • Privacidade em Aplicações Web
  • Normas, Certificações e Critérios para Avaliação da Segurança em Aplicações Web
  • Sensibilização e Educação para a Segurança Aplicacional
  • Segurança para a Web Móvel
  • Ataques e Exploração de Vulnerabilidades

Instruções para a submissão de trabalhos

Os autores deve submeter um trabalho original escrito em Inglês, devidamente verificado para evitar incorrecções gramaticais ou sintácticas, usando o procedimento de submissão on-line ( Por favor, verifique os formatos aceites para os trabalhos e tenha atenção a dimensão máxima dos mesmos (limite de 12 páginas, de acordo com o modelo fornecido e que pode ser obtido a partir da seguinte URL:

As indicações para a formatação dos trabalhos fornecidos no site da conferência e no template devem ser estritamente seguidas pelos autores que desejem submeter trabalhos. O formato de submissão é o mesmo do formato final. Por favor, siga as instruções de formatação usadas no template.

Cada trabalho deve indicar com clareza a natureza da sua contribuição técnica/científica e os problemas, domínios ou ambientes para o qual é aplicável.

Todos os artigos que estejam fora do âmbito da conferência ou que sob os quais sejam detectados actos de plágio, serão liminarmente rejeitados.

Alguns detalhes sobre o procedimento de submissão:

1. Será utilizado um procedimento de revisão anónimo, que será repetido por pelo menos dois revisores autónomos. Para facilitar este processo, que se pretende seja rápido, eficiente e justo, é solicitado aos autores que produzam os seu trabalho e que o submetam, SEM qualquer referência a algum dos autores do mesmo. Isto significa que é necessário remover os detalhes pessoais do autor, a secção de agradecimentos e qualquer outra referência que possa revelar a identidade dos autores;

2. Serão aceites os seguintes formatos de ficheiros na submissão: ODF, PDF, DOC, DOCX e RTF;

3. O processo de submissão on-line envia automaticamente uma notificação, através do correio electrónico, do resultado da submissão ao autor correspondente.

Submissão de trabalhos regulares

Um trabalho regular apresenta o trabalho em que a pesquisa está terminada ou muito próximo de estar completa. Não significa que o trabalho seja aceite na categoria de “trabalho completo”. Pode ser aceite como “trabalho completo” (apresentação oral de 30 minutos), “trabalho curto” (apresentação oral de 15 minutos) ou “poster”.

Submissão de trabalhos de posição

Um trabalho de posição apresenta uma opinião para discussão num determinado assunto. O objectivo de um trabalho deste tipo é o de convencer a audiência de que a sua opinião é válida e vale a pena ser escutada, sem ser necessário apresentar trabalho completo de pesquisa e/ou resultados devidamente validados. É no entanto importante suportar os seus argumentos com provas e assegurar a validade das mesmas. Um trabalho deste tipo pode ser relatório curto e a discussão de ideias, factos, situações, métodos, procedimentos ou resultados de pesquisa científica (bibliográfica, experimental, teórica ou outra) focada num dos temas da conferência. A aceitação de um trabalho de posição está restringido às categorias de “artigo curto” ou “poster”.

Depois de concluído o processo de revisão dos trabalhos submetidos, o autor de contacto (que submeteu o trabalho para a conferência) será notificado do resultado da apreciação. Os autores cujos trabalhos forem aceites devem seguir as recomendações dos revisores de melhoria dos seus trabalhos antes de submeterem a versão final dos mesmos.

Todos os trabalhos aceites serão publicados na acta de conferência, com uma identificação ISBN. A acta da conferência será publicada pela Springer, na sua série “Communications in Computer and Information Science (CCIS)”.

Site de Web


Endereço de correio electrónico: [email protected]

Datas importantes

Submissão de trabalhos: 24 de Setembro de 2010

Notificação de Aceitação: 8 de Outubro de 2010

Versão final dos trabalhos aceites: 15 de Outubro de 2010

Conferência: 11 e 12 de Novembro de 2010

Call for Papers (spanish version)

Organization and Program Committee

IBWAS'10 Chairs

Carlos Serrão, ISCTE-IUL Instituto Universitário de Lisboa, OWASP Portugal, Portugal

Vicente Aguilera Díaz, Internet Security Auditors, OWASP Spain, Spain

IBWAS'10 Organization

Fabio Cerullo, OWASP Global Education Committee, Ireland

Dinis Cruz, OWASP Board Member, UK

Paulo Coimbra, OWASP Project Manager, UK

Miguel Correia, Universidade de Lisboa, Portugal

Paulo Sousa, Universidade de Lisboa, Portugal

Lucas C. Ferreira, Câmara dos Deputados, Brasil

Arturo Busleiman, OWASP Argentina, Argentina

Martin Tartarelli, OWASP Argentina, Argentina

IBWAS'10 Program Committee

André Zúquete, Universidade De Aveiro, Portugal
Candelaria Hernández-Goya, Universidad De La Laguna, Spain
Carlos Costa, Universidade De Aveiro, Portugal
Carlos Ribeiro, Instituto Superior Técnico, Portugal
Eduardo Neves, OWASP Education Committee, OWASP Brazil, Brazil
Francesc Rovirosa i Raduà, Universitat Oberta de Catalunya (UOC), Spain
Gonzalo Álvarez Marañón, Consejo Superior de Investigaciones Científicas (CSIC), Spain
Isaac Agudo, University of Malaga, Spain
Jaime Delgado, Universitat Politecnica De Catalunya, Spain
Javier Hernando, Universitat Politecnica De Catalunya, Spain
Javier Rodríguez Saeta, Herta Security, Spain
Joaquim Castro Ferreira, Universidade de Lisboa, Portugal
Joaquim Marques, Instituto Politécnico de Castelo Branco, Portugal
Jorge Dávila Muro, Universidad Politécnica de Madrid (UPM), Spain
Jorge E. López de Vergara, Universidad Autónoma de Madrid, Spain
José Carlos Metrôlho, Instituto Politécnico de Castelo Branco, Portugal
José Luis Oliveira, Universidade De Aveiro, Portugal
Kuai Hinojosa, OWASP Global Education Committee, New York University, United States
Leonardo Chiariglione, Cedeo, Italy
Leonardo Lemes, Unisinos, Brasil
Manuel Sequeira, ISCTE-IUL Instituto Universitário de Lisboa, Portugal
Marco Vieira, Universidade de Coimbra, Portugal
Mariemma I. Yagüe, University of Málaga, Spain
Miguel Correia, Universidade de Lisboa, Portugal
Miguel Dias, Microsoft, Portugal
Nuno Neves, Universidade de Lisboa, Portugal
Osvaldo Santos, Instituto Politécnico de Castelo Branco, Portugal
Panos Kudumakis, Queen Mary University of London, United Kingdom
Paulo Sousa, Universidade de Lisboa, Portugal
Rodrigo Roman, University of Malaga, Spain
Rui Cruz, Instituto Superior Técnico, Portugal
Rui Marinheiro, ISCTE-IUL Instituto Universitário de Lisboa, Portugal
Sérgio Lopes, Universidade do Minho, Portugal
Tiejun Huang, Pekin University, China
Víctor Villagrá, Universidad Politécnica de Madrid (UPM), Spain
Vitor Filipe, Universidade de Trás-os-Montes e Alto Douro, Portugal
Vitor Santos, Microsoft, Portugal
Vitor Torres, Universitat Pompeu Fabra, Spain
Wagner Elias, OWASP Brazil Chapter Leader, Brazil


Registration will be available as soon as possible.

OWASP Membership (37.55€ annual membership fee) gets you a discount of 37.55€

Early Registration
(until )
Late Registration
(after )
Regular euros euros
OWASP members euros euros
Students euros euros


The agenda will be available as soon as possible.


Day 1 - Nov 11th 2010

Day 2 - Nov 12th 2010



Accepted Papers


The list of speakers will be available here as soon as possible.

Keynote Speakers

Professor Ian Angell

London School of Economics, United Kingdom

Professor Paulo Veríssimo

Faculdade de Ciências, Universidade de Lisboa, Portugal

Professor Carlos Ribeiro

Instituto Superior Técnico, Universidade Técnica de Lisboa, Portugal

Carlos Ribeiro (Ph.D.) is Professor at the Computer and Information Systems Department at the IST/UTL, where he teaches Network Security, Computer Security, Security Protocols and Operating Systems courses. He has received his PhD degree in Computer Science in 2002 from IST/UTL. Carlos Ribeiro's main research area is Security. He is co-coordenator of the PhD in Information Security, and vice-president of IST computer and network unit. He has been a researcher at Inesc-id since 2002, where he is currently the leader of the Distributed Systems research Group. He has participated in several National and International research projects in computer and network security, and has been an active researcher in the e-voting field since 2002.

Panel Speakers

Miguel Almeida

Independent Security Consultant

Bruno Morisson

Independent Security Consultant

Rui Shantilal

Integrity, S.A.

Luís Grangeia


Francisco Rente

IPN, Nonius


IBWAS'10 will be taking place at the ISCTE - Lisbon University Institute in Lisbon, Portugal.


Av. das Forças Armadas
1600- Lisboa

Find the location on Google Maps.

<googlemap lat="38.749565" lon="-9.15277" zoom="15"> 38.748862, -9.152384, ISCTE-IUL </googlemap>


How to get there?


  • Go up the Av.ª das Forças Armadas.
  • Turn north at the crossing with Av.ª Prof. Gama Pinto. The crossing is located at the highest point of Av.ª das Forças Armadas.
  • Turn to the second street right.
  • Turn to the first street right.
  • The main entrance of ISCTE is at your left.


  • Leave the train at the Entrecampus station. Look for the exit leading to Av.ª da República.
  • Walk north for about 250 m towards the Rotunda de Entrecampus (a circle).
  • At the circle, turn left to the Av.ª das Forças Armadas.
  • Climb west for about 300 m towards Sete Rios. Use the sidewalk on the right.
  • The entry leading to ISCTE will be at your right, immediatly after the canteen of the University of Lisbon.


  • Get on any Carris bus with numbers 54, 701, or 732.
  • Leave the bus at the "Faculdade de Farmácia" stop, at the top of Av.ª das Forças Armadas, close to an old house with ia battlemented roof.
  • Walk down the avenue for about 50 m. The entry leading to ISCTE will be at your left, immediatly before the canteen of the University of Lisbon.


First alternative:

  • Leave the train at the Entrecampos station.
  • Exit the station through the north exit, leading to the Rotunda de Entrecampos (a circle), close to Av.ª das Forças Armadas.
  • From the circle, go west, up the Av.ª das Forças Armadas, for about 300 m.
  • Use the sidewalk on the right.
  • The entry leading to ISCTE will be at your right, immediatly after the canteen of the University of Lisbon.

Second alternative:

  • Leave the train at the Cidade Universitária station.
  • Exit the station through the passage leading to Hospital de Santa Maria.
  • Walk south, along the left sidewalk of Av.ª Prof. Gama Pinto, for about 150 m (i.e., walk towards the Av.ª das Forças Armadas).
  • After the crossing with the Av.ª Prof. Egas Moniz (at your right), turn into the first street at your left.
  • Turn to the first street right.
  • The main entrance of ISCTE is at your left.

Here is the representation of the walking on the map.






This page contains information about the recommended hotels for the conference. All of the hotels are near to the conference place at a 5 to 15 minutes walking distance. We are also negotiating special rates for some of these hotels - information about this will be here as soon as it becomes available.

SANA Metropolitan Hotel ****

Rua Soeiro Pereira Gomes, Parcela 2, Entrecampos, 1600-198 Lisboa, Lisboa



Location on Google Maps.

Hotel web-site.

Vip Executive Villa Rica Hotel ****

Av.5 de Outubro Nr. 295, Entrecampos, 1600-035 Lisboa (Lisboa)


Location on Google Maps.

Hotel web-site.

NH Campo Grande ****

Campo Grande, 7, 1700-087 Lisboa, Lisboa

1101383-t2-z2w.jpg 1101375-t2-z2w.jpg

Location on Google Maps.

Hotel web-site.

Hotel VIP Executive Zurique ***

Rua Ivone Silva 18, 1050 Lisboa



Location on Google Maps.

Hotel web-site.

Hotel Berna ***

Avenida António Serpa 13, 1069 Lisboa



Location on Google Maps.

Hotel web-site.

Holiday Inn Hotel Continental ****

Rua Laura Alves 9, 1050 Lisboa‎


Location on Google Maps.

Hotel web-site.

Radisson Blu Lisboa ****

Av. Marechal Craveiro Lopes, 390, Entrecampos, Lisboa (Lisboa)

hcom_524550_7_b.jpg radisson-blu-lisboa-lisboa_250520090848039933.jpg

Location on Google Maps.

Hotel web-site.



We are currently soliciting sponsors for the IBWAS09 Conference. Please refer to our sponsorship opportunities for details.

Slots are going fast so contact us to sponsor today!


Media Sponsors


Supported by

Visit Lisbon

For Tourist Information and more: Visit Lisbon (website of the Lisbon Tourism Office). See also here. About Portugal, see here.

LISBON is beautiful, historic, modern, sunny & it never stops! It is an enchanting city with delightful cuisine and unforgettable sites. The city holds many pleasant surprises to visitors who wish to enjoy their stay. The capital of Portugal since its conquest from the Moors in 1147, Lisbon is a legendary city with over 20 centuries of History. The Alfama is one of the oldest quarters in Lisbon. It survived the earthquake of 1755 and still retains much of its original layout. In addition to Alfama are the likewise old quarters of Castelo and Mouraria, on the western and northern slopes of the hill that is crowned by St. George's Castle. Radiant skies brighten the monumental city, with its typical tile covered building façades and narrow medieval streets, where one can hear the fado being played and sung at night.

Here's a taste of what you can find here in Lisbon, or nearby.

Torre de Belém Mosteiro dos Jerónimos Ponte 25 de Abril
Torredebelem.jpg Mosteirojeronimos.jpg Ponte21abril.jpg
Castelo de São Jorge Alfama Parque Eduardo VII
Castelosjorge.jpg Algfama.jpg Parqueeduardo7.jpg
Aqueduto das Águas Livres Museu dos Coches Casa dos Bicos
Aqueduto.jpg Coches.jpg Bicos.jpg
Parque das Nações Oceanário Pavilhão Multiusos
Pnacoes.jpg Oceanario.jpg Multiusos.jpg
Cacilheiros Linha de Cascais - Praias Linha da Caparica - Praias
Cacilheiros.jpg Cascais.jpg Caparica.jpg
Casino Lisboa Docas - Diversão Nocturna Fado
Casino.jpg Docas.jpg Fado.jpg
Sintra Vila Sintra - Palácio da Pena Cristo Rei
Sintravila.jpg Sintrapalacio.jpg Cristorei.jpg