This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "OWASP German Chapter Stammtisch Initiative/München"

From OWASP
Jump to: navigation, search
m (Added slides from 2017-06-20_NIST_800-63B Presentation)
(Einladung zum (105.) Münchner OWASP-Stammtisch am (4.) Di, 28.01.2020: Update der OWASP Top 10 Privacy Risks (Florian Stahl))
 
(83 intermediate revisions by 4 users not shown)
Line 4: Line 4:
  
 
== '''A K T U E L L E S :''' ==
 
== '''A K T U E L L E S :''' ==
 +
<!--- <span style="background:yellow; font-size:120%"><b>Wir suchen noch einen Vortrag für den Stammtisch am 19.11.2020!</b></span> ---><!--- <span style="font-size:120%"><b>Wir suchen Vorträge für die nächsten Stammtische!</b></span>
 
<br>
 
<br>
<span style="font-size:120%;"><b>Wir suchen Vorträge für die nächsten Stammtische in 2017!</b></span>
+
<br> --->
<br>
+
<span style="font-size:110%;"><b>Einladung</b> zum (</span><span style="color:#008040; font-size:120%"><b>105.</b></span><span style="font-size:110%;">) <b>Münchner OWASP-Stammtisch am <span style="background:yellow;">Di, 28.01.2020</span>, um 19:00 Uhr <span style="background:yellow; font-size:120%">(erst am 4. Dienstag)</span>.</b>
<br>
+
* <b>Agenda:</b>
<span style="font-size:110%;"><b>Einladung</b> zum (</span><span style="color:#008040; font-size:120%"><b>80.</b></span><span style="font-size:110%;">) <b>Münchner OWASP-Stammtisch am Di, <span style="background:yellow;">20.06.2017</span>, um 19:00 Uhr</b>.
+
:*<b>Vortrag: Update der OWASP Top 10 Privacy Risks (<u>[[User:Florian Stahl|Florian Stahl]]</u>)</b><br>* Rückblick & Hintergrund<br>* Aktuelle Version der OWASP Top 10 Privacy Risks (2014)<br>* Update 2019/2020<br>&nbsp;&nbsp;- Review Methodik<br>&nbsp;&nbsp;- Diskussion & Update der “Risk Candidates”<br>&nbsp;&nbsp;- Risikobewertung (Schaden & Eintrittswahrscheinlichkeit)<br>&nbsp;&nbsp;- Offene Punkte<br>* Fazit
* <b>Vortrag: Praktikable Authentifizierung anhand des DRAFT NIST 800-63B (Christoph Kemetmüller)</b><br>Der DRAFT NIST Special Publication 800-63B Digital Authentication Guideline Authentication and Lifecycle Management legt den Fokus auf praxistaugliche Anforderungen für Authentifizierung. Sind die Regeln zur Authentifizierung impraktikabel arbeiten die Nutzer an den Anforderungen vorbei. Im Draft werden Empfehlungen basierend auf diesen Erfahrungen der letzten Jahre gemacht. Dabei soll die Last dem Verifizierenden auferlegt werden. Damit steigt für Anbieter der Anreiz nur Sicherheitsmaßnahmen auf Seiten der Benutzer zu implementieren die eine deutliche Verbesserung der Sicherheit nach sich ziehen.
+
:* <b>Freie Diskussion,</b> <span style="background:yellow;">bringt bitte Themen mit!</span>
* <b><span style="background:yellow; font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus]</span>, Sendlinger Straße 14, 80331 München</b>
+
* <span style="background:yellow; font-size:110%"><b>Wir suchen noch Vorträge für die weiteren Stammtische in 2020!</b></span>
 +
* <b><span <!---- style="background:yellow;-----> font-size:110%;">Ort: [http://www.hackerhaus.de/ Hackerhaus]</span>, Sendlinger Straße 14, 80331 München</b>
 
:* Mit <b><u>[http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]</u></b>:
 
:* Mit <b><u>[http://efa.mvv-muenchen.de öffentlichen Verkehrsmitteln]</u></b>:
 
::* <i>ab Marienplatz [U3/U6, S-Bahn]</i>:<br>Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
 
::* <i>ab Marienplatz [U3/U6, S-Bahn]</i>:<br>Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
Line 17: Line 19:
 
* Um vorhergehende <b>Anmeldung per Mail</b> bei {{Template:Contact | name = Torsten Gigler | email [email protected] }} wird <b>gebeten</b>, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.  
 
* Um vorhergehende <b>Anmeldung per Mail</b> bei {{Template:Contact | name = Torsten Gigler | email [email protected] }} wird <b>gebeten</b>, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.  
 
* '''Spread the word'''<br>Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
 
* '''Spread the word'''<br>Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
<br>Schönen Gruß,<br>Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)
+
Schönen Gruß,<br>Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)
 
 
  
 
== Geplante Stammtisch-Vorträge und -Diskussionen==
 
== Geplante Stammtisch-Vorträge und -Diskussionen==
 +
* Februar 2020: 18.02.2020
 
<!---
 
<!---
* August 2017: Sommerferien - KEIN OWASP-Stammtisch
+
* August 2019: Sommerferien - KEIN OWASP-Stammtisch
* Dezember 2017: Weihnachtsferien - KEIN OWASP-Stammtisch
+
* Dezember 2019: Weihnachtsferien - KEIN OWASP-Stammtisch
--->
+
* Juli 2019:      16.07.2019 (3. Di)
<!---
+
* Oktober 2019:  22.10.2019 (4. Di)
* <b>Wir suchen Vorträge für die weiteren Stammtische in 2016!</b>
+
* November 2019:  19.11.2019 (3. Di)
<!----->
+
* Dezember 2019: Weihnachtsferien - KEIN OWASP-Stammtisch
 +
---->
  
Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben.<br>
+
* <b>Wir suchen Vorträge für die weiteren Stammtische in 2020!</b><br>Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben.<br>Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''
 
 
Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''<br>
 
  
  
Line 43: Line 44:
 
* mittels <b>Vortrag, wenn's geht</b> oder ersatzweise
 
* mittels <b>Vortrag, wenn's geht</b> oder ersatzweise
 
* <b>Lightning-Talk</b>, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
 
* <b>Lightning-Talk</b>, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
* <b>Ankündigungen</b> erfolgen hier und über die [https://lists.owasp.org/mailman/listinfo/owasp-germany <b>Mailing-Liste des German Chapters</b>]
+
* <b>Ankündigungen</b> erfolgen hier und über die [https://groups.google.com/a/owasp.org/group/germany-chapter/ <b>Mailing-Liste des German Chapters</b>]
 
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
 
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
 
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]
 
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]
  
Die Details der letzten "HowTo-Stammtisch"-Umfrage sind [https://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative/M%C3%BCnchen#Details_zur_letzten_Stammtisch-Umfrage_vom_September_2012 hier] zu finden.
 
  
 
== Bereits gehaltene Stammtisch-Vorträge ==
 
== Bereits gehaltene Stammtisch-Vorträge ==
* Juni 2017: [[:File:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]] (Christoph Kemetmüller)
+
<!--- Direkt-Link: https://www.owasp.org/index.php?title=OWASP_German_Chapter_Stammtisch_Initiative/M%C3%BCnchen#Bereits_gehaltene_Stammtisch-Vortr.C3.A4ge --->
* Mai 2017: Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"? (Helmut Petritsch)
+
* November 2019: <u>[[Media:Software_Composition_Analysis_OWASP_Stammtisch_-_Stanislav_Sivak.pdf|Open Source Software Flood: Learning to swim]]</u> (Stanislav Sivak)
* März 2017: <u>[[Media:Security_Requirements_im_Software_Development_Lifecycle_-_Daniel_Kefer.pdf|Security Requirements im Software Development Lifecycle]]</u> (Daniel Kefer)
+
* Oktober 2019: <u>[[Media:Security for Business Benefit - Buy Security Services or do it yourself - Jens Bitter.pdf|Security for Business Benefit - Buy Security Services or do it yourself (DIY)?]]</u> (Jens Bitter)
 +
* September 2019: Stack Overflow Considered Helpful! Deep Learning Security Nudges Towards Stronger Cryptography (<u>[https://www.in.tum.de/cybertrust/members/felix-fischer/ Felix Fischer, PhD Student am Lehrstuhl für Cyber Trust, TU München]</u>), vgl Publications: <u>[https://www.in.tum.de/fileadmin/w00bws/cybertrust/papers/2019-USENIXSec-Fischer.pdf Usenix Security 2019 (Author Version)]</u>
 +
* Juli 2019: Bug Bounty Platforms: Empirical Analysis and Economic Challenges (<u>[https://www.cybertrust.in.tum.de/index.php?id=101 Prof. Ph.D. Jens Grossklags, Lehrstuhl für Cyber Trust, TU München]</u>), <u>[https://www.cybertrust.in.tum.de/index.php?id=102&L=0 vgl Publikationen]</u>: <u>[https://www.jstor.org/stable/pdf/10.5325/jinfopoli.7.2017.0372.pdf Devising Effective Policies for Bug-Bounty Platforms and Security Vulnerability Discovery]</u>, <u>[https://academic.oup.com/cybersecurity/article/3/2/81/4524054 Given enough eyeballs, all bugs are shallow? Revisiting Eric Raymond with bug bounty programs]</u>
 +
* Juni 2019 (100. Stammtisch): Vortrag 1: Security in a DevOps world (Martin Knobloch), Vortrag 2: Develop secure software with OWASP tools & guides (Martin Knobloch)
 +
* Gastvortrag auf den 'Tech Days München 2019' des Sicherheitsnetzwerks München: <u>[[Media:OWASP_Leitlinien+Werkzeuge_-_Torsten_Gigler.pdf|Leitlinien und Werkzeuge von der OWASP-Community]]</u> (Torsten Gigler)
 +
* Mai 2019: <u>[[Media:Application_Security_Verification_Standard_4.0_-_Andrew_van_der_Stock.pdf|OWASP Application Security Verification Standard (ASVS) 4.0]]</u> (Andrew van der Stock, California), vgl auch <u>[[:Category:OWASP_Application_Security_Verification_Standard_Project|Projekt-Seite]]</u>, <u>[https://github.com/OWASP/ASVS/tree/master/4.0 ASVS GitHub Repo]</u>
 +
* April 2019: <u>[[Media:OAuth_2_and_OpenID_Connect_-_Andreas_Falk.pdf|Absicherung von Microservices mit OAuth 2 und OpenID Connect]]</u> (Andreas Falk), <u>[https://github.com/andifalk/owasp-chapter-munich-04-2019 vgl auch Github]</u>
 +
* März 2019: Talk: Vertraulichkeit sensibler Daten: OWASP Top 10 ‚A3:2017‘ & Transport Layer Security (TLS) (Torsten Gigler)
 +
* Februar 2019: <u>[[Media:OWASP_Top10_2017_Neuerungen%2BHintergruende_-_Torsten_Gigler.pdf|Talk: OWASP Top 10-2017: Neuerungen & Hintergründe]]</u> (Torsten Gigler)
 +
* Januar 2019: <u>[[Media:German_OWASP_Day_2018-Nachlese_-_Thomas_Herzog%2BTorsten_Gigler.pdf|Nachlese zum German OWASP Day 2018 in Münster]]</u> (Thomas Herzog und Torsten Gigler)
 +
* November 2018: <u>[[Media:Webservice_and_Microservice_Security_-_Jim_Manico.pdf|Webservice, Microservice and REST Security]]</u> (Jim Manico, Hawaii)
 +
* Oktober 2018: <u>[[Media:150_Tage_DSGVO_in_KMU_-_Jens_Bitter.pdf|150 Tage DSGVO - Umsetzungserfahrungen in der Praxis mit KMU]]</u> (Jens Bitter)
 +
* September 2018: <u>[[Media:Weiterentwicklung_des_OWASP-ModSecurity_Core_Ruleset-20180918_-_Mirko_Dziadzka.pdf|Weiterentwicklung OWASP Core Rule Set]]</u> ([https://mirko.dziadzka.de/ Mirko Dziadzka]) <!--- Quelle für Folien: ([http://mirko.dziadzka.de/Vortrag/owasp-crs-20180918 Folien]) --->
 +
* Juli 2018: Workshop: Virtualisieren eines Clients (Dr. Gregor Kuznik)
 +
* Juni 2018: SABSA-Anforderungsanalyse -  Alle Stakeholder im Blick (Dr. Silvia Knittl)
 +
* Mai 2018: Live Vorführung: ZAP, Burp, mitmproxy - Eine interaktive Einführung in Web-Intercepting Proxies (Benjamin Kellermann)
 +
* April 2018: Der Secure Software Development Lifecycle (SDLC) in der Praxis (Dr. Bruce J. Sams)
 +
* März 2018: <u>[[Media:The_Future_of_Data_Privacy_in_Europe_-_V2_Klaus-E_Klingner.pdf|Änderungen der General Data Protection Regulation, GDPR]]</u> (Klaus-E. Klingner)
 +
* Februar 2018: <u>[[Media:IoT_Security_Kleine_Dinge-große_Wirkung_-_Helmut_Petritsch.pdf|IoT-Security: kleine Dinge – große Wirkung]]</u> (Helmut Petritsch)
 +
* Januar 2018: Die CA ist tot - Es lebe die CA! (Sebastian Schucht)
 +
* November 2017: <u>[[Media:Bot_or_Not_-_Mitigating_Automated_Threats_to_Web_Applications_-_Bastian_Braun.pdf|Bot or Not? - Mitigating Automated Threats to Web Applications]]</u> (Bastian Braun)
 +
* September 2017: <u>[[Media:ISACA EURO CACS 2017 Munich-Review aus der Sicht eines Teilnehmers - Dr Gregor Kuznik.pdf|ISACA EURO CACS 2017 Munich (29.-31. Mai 2017) - Review aus der Sicht eines Teilnehmers]]</u> (Dr. Gregor Kuznik), vgl auch <u>[https://www.isaca.org/Education/Conferences/Documents/2017-CACS-Conference-Report_mkt_eng_0617.pdf CACS 2017 CONFERENCE REPORT]</u>
 +
* Juli 2017: Cyber-Sicherheit – präventiv statt reaktiv (Alexios Fakos)
 +
* Juni 2017: <u>[[Media:2017-06-20 NIST 800-63B v1.1.pdf|Practical Password Authentication according to NIST DRAFT 800-63B]]</u> (Christoph Kemetmüller)
 +
* Mai 2017: <u>[[Media:Break-Glass - Helmut Petritsch.pdf|Ausnahmen bei Zugriffskontrolle: Ja, Nein – oder doch "Vielleicht"?]]</u> (Helmut Petritsch)
 +
* März 2017: <u>[[Media:Security Requirements im Software Development Lifecycle - Daniel Kefer.pdf|Security Requirements im Software Development Lifecycle]]</u> (Daniel Kefer)
 
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom <u>[https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase]</u> (Dr. Gregor Kuznik)
 
* Februar 2017: Verbundvorhaben ARIEL (Air Traffic Resilience) - Eindrücke vom <u>[https://bscw.aisec.fraunhofer.de/pub/bscw.cgi/82056 Abschlussworkshop der Projektphase]</u> (Dr. Gregor Kuznik)
 
* Januar 2017: <u>[[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]]</u> (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
 
* Januar 2017: <u>[[Media:German_OWASP_Day_2016_-_Nachlese_-_Achim_Hoffmann+Thomas_Herzog+Torsten_Gigler.pdf|Nachlese zum 8. German OWASP Day 2016]]</u> (Achim Hoffmann, Thomas Herzog und Torsten Gigler)
* September 2016: <u>[[Media:Phishing_mit_Powershell_-_Christoph_Kemetmueller.pdf|Phishing mit Powershell]]</u> (Christoph Kemetmüller)
+
* September 2016: <u>[[Media:Phishing mit Powershell - Christoph Kemetmueller.pdf|Phishing mit Powershell]]</u> (Christoph Kemetmüller)
* Juli 2016: <u>[[Media:Java_Deserialisierung_-_Johannes_Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]]</u> (Johannes Bär)
+
* Juli 2016: <u>[[Media:Java Deserialisierung - Johannes Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]]</u> (Johannes Bär)
 
* Mai 2016: <u>[[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]]</u> (Michael Spreitzenbarth)
 
* Mai 2016: <u>[[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]]</u> (Michael Spreitzenbarth)
* April 2016: Talk: <u>[[Media:OWASP_Secure_Software_Contract_Annex_auf_Deutsch_-_Ralf_Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]]</u> (Ralf Reinhard)<br>Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard)<br>Talk: <u>[[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]]</u> (Torsten Gigler und Thomas Herzog)
+
* April 2016: Talk: <u>[[Media:OWASP Secure Software Contract Annex auf Deutsch - Ralf Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]]</u> (Ralf Reinhard)<br>Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard)<br>Talk: <u>[[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]]</u> (Torsten Gigler und Thomas Herzog)
 
* März 2016: <u>[[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]]</u> (Andreas Falk)
 
* März 2016: <u>[[Media:Agil_aber_sicher_owasp_muenchen_-_Andreas Falk.pdf|Agil, aber sicher? Security im agilen Entwicklungsprozess]]</u> (Andreas Falk)
 
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
 
* Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
* Januar 2016: <u>[[Media:The_unsatisfied_Security_Requests_of_the_Web_-_Bastian_Braun.pdf|The unsatisfied Security Requests of the Web]]</u> (Bastian Braun)
+
* Januar 2016: <u>[[Media:The unsatisfied Security Requests of the Web - Bastian Braun.pdf|The unsatisfied Security Requests of the Web]]</u> (Bastian Braun)
 
* November 2015: HTTP/2 - was ist das und warum will man das  ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
 
* November 2015: HTTP/2 - was ist das und warum will man das  ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-http2-20151117 Folien])
* September 2015 <u>[[Media:JMX_-_Java_Management_Extensions_-_Hans-Martin_Muench.pdf|JMX - Java Management Extensions]]</u> (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
+
* September 2015 <u>[[Media:JMX - Java Management Extensions - Hans-Martin Muench.pdf|JMX - Java Management Extensions]]</u> (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
* Juli 2015: <u>[[Media:Highlights_der_AppSecEU_und_Hack_in_the_Box_-_Christoph_Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]]</u> (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
+
* Juli 2015: <u>[[Media:Highlights der AppSecEU und Hack in the Box - Christoph Kemetmueller.pdf|Highlights der AppSecEU und Hack in the Box]]</u> (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
 
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
 
* Juni 2015: Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des [http://de.slideshare.net/dimisec/badneedles Vortrags] von der [https://2015.appsec.eu/talks/ AppSecEU 2015] (Videos: [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_360p.mp4 360p], [https://www.its.fh-muenster.de/owasp-appseceu/2015/videos/OWASP-AppsecEU15-DmitrySavintsev-FindingBadNeedlesOnAWorldwideScale_720p.mp4 720p])
 
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
 
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
 
* April 2015: <u>[[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]]</u> (Prof. Dr. Ruth Breu und Michael Brunner, <u>[http://informatik.uibk.ac.at Universität Innsbruck])</u>
 
* April 2015: <u>[[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]]</u> (Prof. Dr. Ruth Breu und Michael Brunner, <u>[http://informatik.uibk.ac.at Universität Innsbruck])</u>
* März 2015: <u>[[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]]</u> (Florian Stahl), Wiederholung des <u>[[Media:Top10PrivacyRisks_IAPP_Summit_2015.pdf|Vortrags]]</u> vom <u>[[German_OWASP_Day_2014|German OWASP Day 2014]]</u>
+
* März 2015: <u>[[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]]</u> (Florian Stahl), Wiederholung des <u>[[Media:Top10PrivacyRisks IAPP Summit 2015.pdf|Vortrags]]</u> vom <u>[[German_OWASP_Day_2014|German OWASP Day 2014]]</u>
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des <u>[[Media:Securing_iOSApps_-_Bruce_Sams.pdf|Vortrags]]</u> vom <u>[[German_OWASP_Day_2014|German OWASP Day 2014]]</u>
+
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des <u>[[Media:Securing iOSApps - Bruce Sams.pdf|Vortrags]]</u> vom <u>[[German_OWASP_Day_2014|German OWASP Day 2014]]</u>
 
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des <u>[[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]]</u> vom <u>[[German_OWASP_Day_2014|German OWASP Day 2014]]</u> mit Live-Vorführung des Tools <u>[[O-Saft|'O-Saft']]</u>
 
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des <u>[[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]]</u> vom <u>[[German_OWASP_Day_2014|German OWASP Day 2014]]</u> mit Live-Vorführung des Tools <u>[[O-Saft|'O-Saft']]</u>
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112_CS-Tag_7.pdf|(Folien)]]
+
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112 CS-Tag 7.pdf|(Folien)]]
 
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
 
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
 
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
 
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
Line 85: Line 110:
 
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
 
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
 
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
 
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top_Ten_Defenses_v9.ppt|Folien - Top Ten Defenses]]
+
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top Ten Defenses v9.ppt|Folien - Top Ten Defenses]]
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP_MUC_Burp_Plugin.pdf|Folien - Burp Plugin]]
+
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP MUC Burp Plugin.pdf|Folien - Burp Plugin]]
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP_MUC_csp_lightning-talk.pdf|Folien - Content Security Policy]]
+
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP MUC csp lightning-talk.pdf|Folien - Content Security Policy]]
 
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
 
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
 
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
 
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann)
Line 94: Line 119:
 
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
 
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
 
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
 
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis_Anomalieerkennung_in_HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
+
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis Anomalieerkennung in HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
 
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
 
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
 
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
 
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
 
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
 
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
 
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])
 
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])
 
 
<!----
 
<!----
 
== Spread the word ==
 
== Spread the word ==
Line 108: Line 132:
 
---->
 
---->
  
== Historisches ==
+
== <u>[[:Talk:OWASP_German_Chapter_Stammtisch_Initiative/München|Historisches (Link)]]</u> ==
===== Details zur letzten Stammtisch-Umfrage vom September 2012  =====
 
 
 
Als Datenbasis dienen 19 gültig abgeschlossenen Umfragen von 19 Teilnehmern, genutzt wurde als technische Plattform [http://de.surveymonkey.com/ SurveyMonkey].
 
 
 
:<b>1. Wie oft sollte der Münchner OWASP Stammtisch im Jahr stattfinden?</b>
 
:: 73,7 % "Einmal im Monat"
 
:: 15,8 % "Alle zwei Monate"
 
:: 5,3 % jeweils für "Einmal im Quartal" und "Alle vier Monate"
 
 
 
:<b>2. An welchen Wochentagen würdest Du zum Stammtisch kommen wollen?</b>
 
:: 83,3 % "Di."
 
:: 77,8 % "Mi."
 
:: 44,4 % "Do."
 
:: 33,3 % "Mo."
 
:: 11,1 % "Sa."
 
:: 5,6 % jeweils für "Fr." und "So."
 
 
 
:<b>3. An welcher Woche würde es Dir am besten passen, zum Stammtisch zu kommen?</b>
 
:: 88,9 % "3. Woche des Monats"
 
:: 66,7 % "2. Woche des Monats"
 
:: 55,6 % "1. Woche des Monats"
 
:: 33,3 % "4. Woche des Monats"
 
 
 
:<b>4. Was wäre die perfekte Uhrzeit für den Stammtisch?</b>
 
:: 57,9 % "19:00"
 
:: 15,8 % "20:00"
 
:: 10,5 % jeweils für "18:00" und "19:30"
 
:: 5,3 % "17:00"
 
 
 
:<b>5. In welchem Stadtbezirk sollte der Stammtisch stattfinden?</b>
 
::Es wurde ein Bewertungsschema zugrunde gelegt. Pluspunkte brachten (absteigend) "Perfekt" (4), "Sehr gut" (3), "Gut" (2) und "Auch OK" (1). Neutral wurde "Meinetwegen" (0) gewertet; für "Eher nicht" gab es Punktabzug (-1), und für "No-Go Area!" doppelten Punktabzug (-2):
 
:: 3,56 jeweils für "Au-Haidhausen" und "Ludwigsvorstadt-Isarvorstadt"
 
:: 3,38 "Maxvorstadt"
 
:: 3,33 "Altstadt-Lehel"
 
:: 3,00 "Sendling"
 
:: 2,33 "Schwanthalerhöhe"
 
:: 2,00 "Schwabing-West"
 
:: [..]
 
:: 0,25 "Hadern"
 
:: 0,13 "Bogenhausen"
 
:: 0,00 "Milbertshofen-Am Hart"
 
:: -0,10 "Feldmoching-Hasenbergl"
 
 
 
:<b>6. Konkrete Vorschläge zu Locations in diesen Stadtbezirken:</b>
 
:: <li> "Wirtshaus zum Wendlinger"
 
:: <li> "SAX"
 
:: <li> "Kleine Schmausefalle"
 
:: <li> "Altes Kreuz"
 
:: <li> "Nockherberg"
 
 
 
:<b>7. Was ich am Stammtisch ändern würde:</b>
 
:: <li> "Thema vorgeben / vorbereiten, wenn schon kein Vortrag statt findet" wurde 3 x genannt
 
:: <li> "Mehr Workshops / Vorträge" wurde 2 x genannt
 
:: <li> "Location" / "ÖPNV" (war damals "Cafe Waldfrieden")
 
:: <li> "Einladung 1,0 bis 1,5 Wochen vorher raus, nicht knapper"
 
:: <li> "Mehr Schwerpunkte"
 
:: <li> "ggf. Split in 'Technischen Stammtisch' und 'Sozialisierungs-Stammtisch'"
 
 
 
:<b>8. Was ich am Stammtisch unbedingt behalten möchte:</b>
 
:: <li> "Gemütliches Beisammensein / Zeit zum Ratschen unter Gleichgesinnten / Lockere Gespräche"
 
:: <li> "Kontakte / Community / Zusammenstellung der Menschen"
 
:: <li> "Fachvorträge"
 
:: <li> "Feilen an OWASP-Projekten"
 
:: <li> "(Weiß-)Bier" wurde 2 x genannt
 
 
 
:<b>9. Zum Abschluss wollte ich schon immer mal loswerden:</b>
 
:: <li> "Lob für die Organisation" wurde 4 x genannt
 
  
  

Latest revision as of 16:12, 11 January 2020

Willkommen beim OWASP-Stammtisch München

... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

A K T U E L L E S :

Einladung zum (105.) Münchner OWASP-Stammtisch am Di, 28.01.2020, um 19:00 Uhr (erst am 4. Dienstag).

  • Agenda:
  • Vortrag: Update der OWASP Top 10 Privacy Risks (Florian Stahl)
    * Rückblick & Hintergrund
    * Aktuelle Version der OWASP Top 10 Privacy Risks (2014)
    * Update 2019/2020
      - Review Methodik
      - Diskussion & Update der “Risk Candidates”
      - Risikobewertung (Schaden & Eintrittswahrscheinlichkeit)
      - Offene Punkte
    * Fazit
  • Freie Diskussion, bringt bitte Themen mit!
  • Wir suchen noch Vorträge für die weiteren Stammtische in 2020!
  • Ort: Hackerhaus, Sendlinger Straße 14, 80331 München
  • ab Marienplatz [U3/U6, S-Bahn]:
    Vorbei am Apfelshop zur Sendlinger Tor Straße Richtung Süden. An der Ecke Hackenstraße auf halber Strecke zum Sendlinger Tor liegt das Hackerhaus.
  • ab Sendlinger Tor [U1/U2/U3/U6]:
    Man durchschreite das Sendlinger Tor in Richtung Norden. An der Ecke Hackenstraße auf halber Strecke zum Marienplatz liegt das Hackerhaus.
  • Es ist für 10 Personen ein separater Raum reserviert, voraussichtlich das 'Klavierzimmer' - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen.
  • Um vorhergehende Anmeldung per Mail bei Torsten Gigler @ wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
  • Spread the word
    Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.

Schönen Gruß,
Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)

Geplante Stammtisch-Vorträge und -Diskussionen

  • Februar 2020: 18.02.2020
  • Wir suchen Vorträge für die weiteren Stammtische in 2020!
    Möchte jemand einen Vortrag oder einen Lightning-Talk halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben.
    Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.


Allgemeines

Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an Christoph Kemetmüller @, Torsten Gigler @ oder Thomas Herzog @ wenden.

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember).


Bereits gehaltene Stammtisch-Vorträge

Historisches (Link)

(Kleines HowTo für die deutschen wiki-Seiten)

Retrieved from "https://wiki.owasp.org/index.php?title=OWASP_German_Chapter_Stammtisch_Initiative/München&oldid=256616"