This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit

Difference between revisions of "Poland"

Jump to: navigation, search
(Uploaded logo)
Line 1: Line 1:
==== Welcome ====
! width="700" align="center" | <br>
! width="500" align="center" | <br>
| align="center" | [[File:OWASP_Poland_logo.png]]
| align="center" |
{{Chapter Template|chaptername=Poland|extra=The original Polish Chapter was founded in June 2007 by Andrzej Targosz and Robert Pajak. The chapter leader is [mailto:[email protected] Wojciech Dworakowski] (since 2011). Acting Chapter Board members are (since 2011): [mailto:[email protected] Michal Kurek], [mailto:[email protected] Marek Zmyslowski], [mailto:[email protected] Tomasz Polanski], [mailto:[email protected] Mateusz Olejarka], [łKrawczyk/ Paweł Krawczyk] (till September 2013), since 2015: [mailto:[email protected] Alexander Antukh].
{{Chapter Template|chaptername=Poland|extra=The original Polish Chapter was founded in June 2007 by Andrzej Targosz and Robert Pajak. The chapter leader is [mailto:[email protected] Wojciech Dworakowski] (since 2011). Acting Chapter Board members are (since 2011): [mailto:[email protected] Michal Kurek], [mailto:[email protected] Marek Zmyslowski], [mailto:[email protected] Tomasz Polanski], [mailto:[email protected] Mateusz Olejarka], [łKrawczyk/ Paweł Krawczyk] (till September 2013), since 2015: [mailto:[email protected] Alexander Antukh].

Revision as of 17:43, 18 February 2016

OWASP Poland logo.png

OWASP Poland

Welcome to the Poland chapter homepage. The original Polish Chapter was founded in June 2007 by Andrzej Targosz and Robert Pajak. The chapter leader is Wojciech Dworakowski (since 2011). Acting Chapter Board members are (since 2011): Michal Kurek, Marek Zmyslowski, Tomasz Polanski, Mateusz Olejarka, Paweł Krawczyk (till September 2013), since 2015: Alexander Antukh.

If you have any questions about previous activities (2009-2011) do not hesitate to contact Przemyslaw Skowron
If you have any questions about previous activities (2007-2009) do not hesitate to contact Andrzej Targosz


OWASP Foundation (Overview Slides) is a professional association of global members and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the Chapter_Leader_Handbook. As a 501(c)(3) non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the speaker agreement and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.


Btn donate SM.gif to this chapter or become a local chapter supporter. Or consider the value of Individual, Corporate, or Academic Supporter membership. Ready to become a member? Join Now BlueIcon.JPG

OWASP Poland on social networks:

Chapter Supporters

OWASP Poland thanks its Chapter Supporters:
Allegro-group.jpg - Gold Chapter Supporter.
Qualys logo.png - Silver Chapter Supporter,
LP logo.jpg - Silver Chapter Supporter,
Securing logo cmyk 150.png - Silver Chapter Supporter.
If your company wishes to support our chapter, please contact Wojciech Dworakowski (terms and conditions:


OWASP Poland Chapter jest partnerem konferencji SEMAFOR - Forum Bezpieczeństwa i Audytu IT organizowanej przez zaprzyjaźnione organizacje ISSA Polska i ISACA Warsaw Chapter oraz Computerworld. Po podaniu kodu promocyjnego "OWASP" przy rejestracji, można uzyskać 10% rabatu od standardowych cen.

Do wygłoszenia keynote zaprosiliśmy Barta de Win - lidera projektu OWASP OpenSAMM (Security Assurance Maturity Model). Będzie mówił o bezpieczeństwie w całym procesie wytwarzania oprogramowania (SDLC) i o tym jak darmowe narzędzia i standardy OWASP mogą w tym pomóć.

Konferencja odbędzie się 17-18 marca 2016 w Warszawie.

Strona konferencji:


Poniżej podstawowe informacje od organizatorów - dokładniejsze, w tym program, na stronie konferencji:

Już po raz dziewiąty stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum Bezpieczeństwa i Audytu IT, która odbędzie się w Warszawie w dniach 17-18 marca 2016. Konferencja SEMAFOR jest jednym z najważniejszych wydarzeń związanym ze światem bezpieczeństwa informacji i audytu IT w Polsce – w 2015 r. gościliśmy ponad 350 uczestników, 18 wystawców i 22 partnerów konferencji. W czasie konferencji mieliśmy 35 prelekcji i 17 stolików tematycznych. SEMAFOR to świetna okazja do zapoznania się z bieżącymi zagrożeniami związanymi z bezpieczeństwem IT, zdobycia nowych umiejętności i doświadczenia oraz nawiązania i podtrzymania relacji w środowisku bezpieczeństwa i audytu IT.

Konferencja będzie odbywać się z uwzględnieniem 3 ścieżek tematycznych:

  • Audyt IT
  • Zarządzanie bezpieczeństwem informacji
  • Techniczne aspekty bezpieczeństwa informacji

OWASP Krakow Event (OWASP EEE) 6.10.2015

Video recording


OWASP Kraków 3.12.2015

On 3rd December at 5 30 p.m. we meet in hub:raum (Przemysłowa 12 street, entrance A, 4th floor) in Kraków.


  • CTF & Wargaming as a different hands-on approach to ICT Security Training, Marius Corîci (CTF365)

With so many enterprises being breached by hackers lately and the explosion of IoT (Internet of Things), it’s clear that SMEs, Corporations and Government Agencies need to find more effective information security training solutions for their employees. With the help of specially designed security testing and training labs, this is something that can be easily achieved.

New concepts based on gamification and inspired by the Internet, guided by capture the flag (CTF) competitions, and specially crafted for the ITC industry should be the new approach. Robust Security Training Platforms where users and teams can train and improve their offensive or defensive security skills and flexible enough to be used as add-on layer or standalone solution to improve your organization’s core security training capabilities.

  • Biometrics and mobile/web apps, Bartosz Pawłowicz (VoicePIN)

There's no denying that the use of biometric technology in mobile devices is a very hot topic. Following this path, Bartosz Pawłowicz will talk about different kinds of biometrics in mobile - these widely known and the most recent. What pros and cons each of them has? What awaits us in the future with the development of biometrics?

You will also learn about the indicators of efficacy and safety offered by biometric solutions - how to understand them? How they are often manipulated or far-fetched by the producers? What really matters and what is a marketing ploy? In addition, Bartosz will discuss the impact of the test base on the results and the differences between tests and reality.


OWASP Warszawa 13.10.2015

Spotkanie OWASP w Warszawie będzie dedykowane problematyce bezpieczeństwa systemów wbudowanych i Internetowi rzeczy (IoT). Data i miejsce spotkania: 13 października 2015, 18:00-20:00

EY Rondo ONZ 1, Warszawa Sala: 14-40 (piętro 14)

Uczestnictwo w spotkaniu jest bezpłatne. Prośba o rejestrację na stronie EventBrite, z uwagi na ograniczoną liczbę miejsc:


18:00 - 18:15 - Meeting opening, OWASP news

18:15 - 19:00 - Secure IoT - Myth or the necessity - Marcin Strzałek, Consultant, EY

Internet of Things is not only a catchy slogan, but a real trend of connecting to public networks multiple Things like fridges, bulbs, home cameras, baby monitors, lockers and even sniper rifles. All of these devices have one common feature – lack of consistent security measures, that allows attackers to disclose or tamper sensitive private data. During presentation we will describe most interesting security vulnerabilities identified in different Things, typical issues and same simple solutions as well as challenges and differences in IoT security comparing with standard web / mobile security.

Marcin is a Consultant within EY’s IT Risk and Assurance division specializing in information technology systems security audits, especially in the field of mobile application penetration testing, reverse engineering malware and source code review. He graduated from Warsaw University of Technology in Warsaw and obtained Bachelor of Science Degree in Computer Science. Currently he holds following certificates: GIAC Reverse Engineering Malware (GREM), Certified Information Systems Auditor (CISA), ISTQB Certified Tester Foundation Level.

19:00 - 19:45 - Towards the WWW of Things? Give me a ReST! Securing Communications Protocols in the IoT - David Fuhr, NTITY

While in the world of automation a large number of proprietary and/or insecure communications protocols are still being used, modern web-like protocols and approaches like ReST and SOA are trying to become the standard to network “Everything”. In this talk, two of the most promising candidates – OPC UA and MTConnect – will be presented and their different security models compared, weaknesses explained. This provides valuable insight for developers as well as auditors of IoT applications.

David Fuhr is a security researcher based in Warsaw, Poland. A trained mathematician, he has specialized in cryptography, network and cloud security. He loves to analyze not only protocols but likewise technical standards. David is the founder of NTITY [], a Berlin, Germany based advanced cyber security consultancy. He has a strong track record of technical audits and risk assessments of ICS (Industrial Control Systems) and automation technology with a focus on critical infrastructures and works internationally as a trainer, coach, instructor, and presenter.

OWASP Krakow Event (OWASP EEE) 6.10.2015


We would like to accounce OWASP Krakow Event which is a part of global OWASP Eastern European Event (EEE). The local Krakow event will take place on 6th October.

More details about this event here..

CFP here.

Global event page is here.

Follow us on Twitter.

OWASP Kraków 10.09.2015

On 10. september at 6 p.m. we meet in Tech Space (Wyczółkowskiego 7 street) in Kraków. Both talks will be in English.


18 00 - 18 15 Intro, slides here

18 15 - 19 00 From bug to Metasploit module, Ewerson (Crash) Guimaraes, EPAM

The Local File Incluison, privilege escalation, CSRF and command execution are old bugs, but still present in applications available over internet.

Over the past two years were about 300 publications related to this bugs in applications that can be downloaded and easily installed on a server exposed in internet.

These statistics not include institutional sites and systems that are developed specifically internally or to a particular customer, that is, there are hundreds of thousands of vulnerable systems.

This talk will show a effective way to exploit this flaws and furthermore, show the way to better understanding and explore the bugs effectively and how to create a Metasploit module/exploit.

19 00 - 19 15 Break

19 15 - 20 00 Google bug bounty - is it worth it or just a waste of time?, Michał Bentkowski,, slides here

In the presentation I will talk about my two year adventures with Google’s bug bounty programme. I will share my general feeling about organisational issues like: communication or payments, but most importantly I will show a few specific bugs I have submitted. These will particuarly include some unusual XSS bugs, exploiting quirks in both browsers and web servers.

20 00 - ... Outro


DevOps + OWASP Kraków 18.03.2015

Zapraszamy na spotkanie zorganizowane wspólnie z Kraków DevOps. Start 18 marca 2015, godzina 18:00, w Tech Space (Leona Wyczółkowskiego 7, ).


18:00 - 18:15 / Przywitanie

18:15 - 19:15 / Monitoring @ scale

19:15 - 19:45 / Social (aka piwo+pizza)

19:45 - 20:15 / OWASP + DevOps - kilka przydatnych narzędzi

20:15 - 22:00 / Social (aka piwo+pizza)


Monitoring @ scale (Sławomir Skowron)

Sławek opowie o tym jak był budowany i jak ewoluował, aby stać się skalowalnym i wydajnym (5 mln metryk na minutę) systemem zbierania pomiarów z każdego komponentu infrastruktury w zmiennym środowisku chmury AWS.

OWASP + DevOps (Mateusz Olejarka)

W trakcie prezentacji zostaną pokrótce przedstawione projekty OWASP, które mogą przydać się zwłaszcza w modelu continious delivery. W projektach takich szczególnie ważne jest dostarczenie programistom właściwych narzędzi, które pozwolą na lepsze zintegrowanie cech bezpieczeństwa z aplikacją. Omówione zostaną między innymi: ESAPI - to biblioteka, która ułatwia pisanie bardziej bezpiecznych aplikacji lub wprowadzanie zabezpieczeń do istniejących aplikacji. AppSensor - to koncepcja i referencyjna implementacja narzędzi, które pozwalają na wykrywanie i odpowiadanie na ataki z poziomu aplikacji.



Już po raz ósmy stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum Bezpieczeństwa i Audytu IT, która odbędzie się w Warszawie w dniach 26 i 27 marca 2015 roku.

Konferencja SEMAFOR jest jednym z najważniejszych wydarzeń związanych ze światem bezpieczeństwa informacji i audytu IT w Polsce. W tym roku pod hasłem "Nowa odsłona bezpieczeństwa informacji i audytu IT" skoncentrujemy się wokół praktycznych zagdanień z obszaru audytu IT, technicznych i zarządczych aspektów bezpieczeństwa informacji, wyzwaniami związanymi z regulacjami prawnymi i IT Governance.

W tym roku pod hasłem „Nowa odsłona bezpieczeństwa informacji i audytu IT” skoncentrujemy się wokół praktycznych zagadnień z obszaru audytu IT, technicznych i zarządczych aspektów bezpieczeństwa informacji, wyzwaniach związanych z regulacjami prawnymi i IT Governance.

Na program konferencji złożą się 3 ścieżki merytoryczne:

  • Audyt IT, ścieżka poświęcona wymaganiom audytu IT w zmieniającym się świecie IT, wyzwaniom stojącym przed IT Governace, itp.
  • Zarządzanie bezpieczeństwem informacji - poświęcona zarządzaniem bezpieczeństwem informacji i ryzykiem operacyjnym, wyzwaniami regulacyjnymi, ochroną danych osobowych i prywatności, jak również ciągłości działania. Chcielibyśmy omówić także miękkie aspekty pracy w bezpieczeństwie informacji.
  • Techniczne aspekty bezpieczeństwa informacji, w której prowadzone będą prelekcje bardziej techniczne poświęcone cyberbezpieczeństwu, zagrożeniom, atakom, informatyce śledczej, a także zabezpieczeniom aplikacji, infrastruktury IT w tym infrastruktury krytycznej, bezpieczeństwie w rozwoju aplikacji, itp.

Dla członków OWASP zniżka od cen na stronie to dodatkowe 10%.

Strona konferencji:


OWASP Poznań 2.12.2014

Serdecznie zapraszam na kolejne spotkanie OWASP w Poznaniu, które odbędzie się 2 grudnia (16:00-18:00).

Spotkanie odbędzie się w Centrum Kongresowe i Hotel IOR ul. Węgorka 20


16:00 - 16:10 - Otwarcie spotkania, aktualności OWASP Polska

16:15 - 17:00 - Phishing - Atak i obrona - Dawid Golak (

17:05 - 18:00 - Modelowanie zachowań użytkowników serwisów internetowych w celu identyfikacji prób ataku (dr Marek Zachara, AGH)

Rejestracja: tutaj.

OWASP Warszawa 19.11.2014

Spotkanie OWASP w Warszawie odbędzie się 19.11.2014 w Centrum Sztuki Fort Sokolnickiego ul. Stefana Czarnieckiego 51, start godzina 17:30.


17:30 - 17:45 - Otwarcie spotkania, aktualności OWASP Polska

17:45 - 18:15 - OWASP ASVS 2.0 (Application Security Verification Standard) - Wojciech Dworakowski, OWASP Poland Chapter Leader, Securing

Prezentacja ma na celu przedstawienie standardu weryfikacji bezpieczeństwa aplikacji ASVS (Application Security Verification Standard). Standard ten można stosować już na etapie definiowania wymagań w celu ustalenia wymagań dotyczących zabezpieczeń (również niefunkcjonalnych). Na etapie weryfikacji umożliwia on sprawdzenie czy są stosowane zasady dobrej praktyki i pozwala audytorowi na wypowiedzenie się o tym co jest poprawne a nie tylko na koncentrowanie się na błędach, jak to ma miejsce przy nieustandaryzowanych testach bezpieczeństwa. Warto podkreślić, że ASVS ma formę listy kontrolnej podzielonej na poziomy w zależności od ryzyka, w związku z tym zakres weryfikacji może być dobrany adekwatnie do specyfiki aplikacji.

Standard ten został stworzony w roku 2009 roku w ramach projektu OWASP (Open Web Application Security Project) i został przetłumaczony na kilkanaście języków, w tym polski. W tym roku ukazała się aktualizacja standardu ASVS i na tej nowej wersji będzie skupiona prezentacja.

18:15 - 18:45 - Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? - Jakub Botwicz, EY Advanced Security Center

W prezentacji zostanie przedstawiony przegląd technik i narzędzi pozwalających identyfikować podatności bezpieczeństwa w aplikacjach, wraz z dyskusją na temat specyfiki poszczególnych metod.

18:45 - 19:00 - Kwestie dodatkowe, zamknięcie spotkania

Rejestracja tutaj.

OWASP Kraków 21.10.2014

Zapraszamy na kolejne spotkanie poświęcone bezpieczeństwu aplikacji. Tym razem będzie nas gościć Akademia Górniczo Hutnicza w Krakowie (pawilon C-2, sala 224). Start 18:00.

W programie dwa wykłady dotyczące badań nad bezpieczeństwem aplikacji. Obydwa tematy miały niedawno premierę na międzynarodowych konferencjach - "AppSec Research" w Cambridge i "International Conference on Computational Collective Intelligence Technologies and Applications" w Seulu. Udało nam się namówić prelegentów na zaprezentowanie tych badań na naszym spotkaniu.

Ponadto chcemy podyskutować o karierze w bezpieczeństwie informacji a konkretnie o certyfikatych zawodowych. Pojawi się również nowy stały element naszych spotkań - "Giełda Pracy" czyli czas kiedy potencjalni pracodawcy będą mogli krótko zaprezentować swoją ofertę pracy lub staży. Pracodawcy, którzy skorzystać z tej okazji, proszeni są o wcześniejszy kontakt z Wojciechem Dworakowskim ([email protected]). Czas na pojedynczą prezentację pracodawcy - 3 min.


1. Modelowanie zachowań użytkowników serwisów internetowych w celu identyfikacji prób ataku (dr Marek Zachara, AGH)

Przedstawienie wyników projektu badawczego nakierowanego na automatyczne tworzenie profilu zachowań użytkowników serwisu internetowego, tu w rozumieniu przejść pomiędzy stronami (page flow). Reprezentacja grafowa takich przejść pozwala z jednej strony poradzić sobie z dużą ilością danych (przechowywanych w jednym grafie), z drugiej identyfikować nietypowe przejścia. Dzięki temu można identyfikować próby ataku np. typu 'forceful browsing', próby identyfikowania standardowych modułów administracyjnych (np. 'phpmyadmin') itp. Dużą zaletą tego rozwiązania jest brak konieczności konfiguracji i utrzymywania tego systemu ochrony - dostosowuje się on 'na bieżąco' do istniejącej aplikacji internetowej.

2. Przechwytywanie ruchu w niestandardowych protokołach sieciowych (Jakub Kałużny, SecuRing)

Istnieje mnóstwo narzędzi umożliwiających przechwytywanie ruchu HTTP/HTTPS, co świetnie się sprawdza podczas testowania aplikacji webowych oraz mobilnych. Jednak podczas testów penetracyjnych specjalizowanego oprogramowania "embedded" lub "grubego klienta" często spotykamy się z nieznanymi i nieudokumentowanymi protokołami sieciowymi. Takiej warstwy pośredniczącej nie da się obsłużyć za pomocą szeroko dostępnych narzędzi "local proxy", a bez zrozumienia i rozłożenia protokołu na czynniki pierwsze, testowanie "backendu" jest bardzo ograniczone. Z naszego doświadczenia wynika, że pod przykrywką nieznanego protokołu, stanowiącego zabezpieczenie typu "security by obscurity", często znajdują się kompletnie niezabezpieczone mechanizmy łamiące wszelkie zasady dotyczące bezpiecznego programowania.

3. Certyfikaty zawodowe dotyczące bezpieczeństwa IT/aplikacji - Czy warto? (otwarta dyskusja)

CISSP, CISM, OSCP, OSCE, eCCPT, Sec+, itp. itd. Co wybrać? Czy warto inwestować czas i pieniądze? Proponujemy kontynuacje dyskusji, która wywiązała się na grupie Linkedin OWASP Poland. Zapraszamy zarówno tych którzy zastanawiają się nad wyborem ścieżki zawodowej, tych którzy już zaczęli ale myślą czy warto inwestować w certyfikaty zawodowe, tych którzy już zdobyli któreś z certyfikatów i zechcieliby podzielić się swoimi doświadczeniami, jak i pracodawców.

Rejestracja tutaj.

OWASP Kraków 26.05.2014

We would like to invite You to the next OWASP meeting. It will take place on 26. May, and will be joined with CONFidence conference ( before party. Therefore You could expect multinational company and a few conference speakers present as well. Both presentations will be in English.

Place: Barka Augusta (barge Augusta on Wisła river, near Podgórska street,


The presentation will cover topics related to developing secure SOA applications in Continuous Delivery environment, based on my experiences from Base CRM. I will begin exploring the topic by describing formal and technical aspects of software development in Base. I will showcase how we are dealing with typical SOA related security problems and our technical solutions that help to us to mitigate most common risks. Next I will outline the dangers of Continuous Delivery in SOA environment. I will describe both technical and organizational efforts to improve security in such environment.

Software development life-cycle is getting more and more automated. Continuous integration has become the standard nowadays. Continuous deployment reduced the time in delivering fixes from days to hours or even minutes. Automated tests are used from single method level to whole system integration level. Is it possible to move security tests from pre-release phase to this automated software development life-cycle? How can we deliver top notch security level to high risk web platforms? What toolset can we use to do this?


Open Source Day 2014

OWASP Polska został partnerem konferencji Open Source Day 2014.

W programie - wykłady prowadzone przez specjalistów z czołówki światowych firm w sektorze Open Source: Red Hat, EnterpriseDB, Liferay, IBM, MongoDB, Intel, DataStax, Github i innych...

Będą też tematy stricte OWASP-owe:

  • Omówienie dokumentów i narzędzi OWASP
  • Warsztat modsecurity na którym będzie o zastosowaniu OWASP ModSecurity Core Rule Set

Pełna agenda konferencji:


Konferencja odbędzie się 13-14 maja w Warszawie w hotelu Marriott. Wstęp wolny, po wcześniejszej rejestracji na stronie:


OWASP Poland objął patronat nad tegoroczną edycją konferencji 4Developers. Dla sympatyków OWASP organizatorzy obiecali 15% zniżki od stawek standardowych, po podaniu kodu promocyjnego: 2k14-OWASP.

Więcej informacji na stronie konferencji:


Nie może Cię zabraknąć na Semaforze 2014 – najważniejszym wydarzeniu związanym z IT Security w Polsce. Już po raz siódmy stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na SEMAFOR 2014. VII Forum Bezpieczeństwa i Audytu IT, które odbędzie się 27-28 marca 2014 roku w Warszawie.

W tym roku program koncentruje się na zagadnieniach audytu IT i bezpieczeństwa informacji dotyczących czterech aktualnych top trendów: przetwarzanie w modelu Cloud Computing, urządzenia mobilne, sieci społecznościowe oraz Big Data.

Dla odbiorców OWASP rabat 10% – cena 1125 zł netto przy zgłoszeniu do 14 marca. By wziąć udział w najważniejszym wydarzeniu związanym z IT Security w Polsce i skorzystać z rabatu – zarejestruj się poprzez ten link.

Więcej informacji na temat konferencji można znaleźć tutaj.

OWASP Kraków - 29 stycznia 2014

Zapraszamy na spotkanie OWASP Poland w Krakowie, 29 stycznia 2014 (środa) o godzinie 17:00 w siedzibie Google, Rynek Główny 13. Sala Google for Entrepreneurs, III piętro:




OWASP Kraków - 17 października 2013

Zapraszamy na spotkanie OWASP Poland w Krakowie, 17 października 2013 (czwartek) o godzinie 17:00 w siedzibie Google, Rynek Główny 13. Sala Google for Entrepreneurs, III piętro:


  • 17.00-17.15 OWASP News
  • 17.15-18.00 Shall We play a game? - Maciej Lasyk, (ex-Ganymede) (prezentacja)
  • 18.00-18.15 przerwa kawowa
  • 18.15-18.45 OWASP Top 10 i ASVS 2013 - Co nowego? - Wojciech Dworakowski (prezentacja)
  • 18.45-19.30 Świat po Snowdenie. Czy i co możemy z tym zrobić? Dyskusja


OWASP Poznań - 24 września 2013

Zapraszamy na trzecie spotkanie OWASP Poland w Poznaniu, 24 września 2013 (wtorek) o godzinie 15:00 w Centrum Konferencyjnym IOR, ul. Władysława Węgorka 20A (wejście od Grunwaldzkiej)



OWASP Warszawa - 26 czerwca 2013

Czerwcowe spotkanie OWASP w Warszawie.


  • 18:00 - 18:15 - Otwarcie spotkania, aktualnosci OWASP Polska
  • 18:15 - 19:00 - "Ataki rozproszonej odmowy usługi - przegląd zagrożeń" - Aleksander Ludynia, Menedżer, Ernst & Young
  • 19:00 - 19:30 - "Ataki rozproszonej odmowy usługi - omówienie zabezpieczeń" - Paweł Chwiećko, Senior Security Engineer, VP

Dostępność danych jest kluczowym czynnikiem dla efektywnej realizacji działalności biznesowej. Jako niezwykle istotny element biznesu stała się ona celem poważnych ataków mających na celu uniemożliwienie dostępu do danych - ataków Denial of Service (DoS). Podczas pierwszej prezentacji zostaną omówione ataki DoS oraz DDoS, ich parametry, statystyki oraz źródła pochodzenia. Zademonstrowane zostaną również narzędzia, za pomocą których są one prowadzone. Druga prezentacja poruszy problematykę skutecznej obrony przed atakami DDoS oraz będzie wstępem do dyskusji dotyczącej zagadnień związanych z atakami odmowy usługi.

Aleksander jest Managerem w Dziale Zarządzania Ryzykiem Informatycznym w Ernst & Young odpowiedzialnym za realizację projektów związanych z bezpieczeństwem systemów informatycznych. Specjalizuje się w testach penetracyjnych aplikacji internetowych oraz przeglądach bezpieczeństwa.

Paweł od 12 lat zajmuje się bezpieczeństwem i ochroną informacji. Od 6 lat związany z globalną instytucją finansową. W latach 2007-2010 członek zespołu EMEA Security Engineering w Londynie zajmującego się projektowaniem i wdrażaniem rozwiązań network security w regionie EMEA. Od 2011 r. członek zespołu Global Network Security Threat Defense Engineering zajmującego się testowaniem i opracowywaniem rozwiązań DDoS Protection, IDPS, SSL Decryption, NAC. Główne obszary zainteresowań w bezpieczeństwie informacji to Cyber Crime i Cyber Wars.


Lokalizacja, dojazd i rejestracja na stronie EventBrite.

OWASP Kraków - 8 maja 2013

Majowe spotkanie OWASP w Krakowie.


  • OWASP News
  • Bezpieczeństwo a zarządzanie projektami - Wojciech Dworakowski (30 minut) - Jak NIE bawić się w IT, czyli słów kilka o błędach większych i mniejszych w zarządzaniu (nie tylko) systemami i sprzętem. Prezentacja zawiera studium kilku autentycznych przypadków, które spotkały autora prezentacji i jego znajomych, pracujących w branży IT. Całość podzielona jest na analizę kilku sytuacji, wśród których poruszane są następujące tematy: 1. Mimowolne udostępnienie poufnych danych oraz danych osobowych, 2. Problemy występujące na styku zarządzania zespołem i kwestiami technicznymi (z punktu widzenia administratora sieci i systemu) – omówienie zagrożeń związanych również z bezpieczeństwem tych sieci/systemów, 3. Słabe punkty „mocnych” systemów zabezpieczeń – czyli dlaczego nawet atak fizyczny na biuro firmy ma szansę powodzenia, 4. Błędy popełniane często przez kierowników zespołów, a mogące mieć kluczowe znaczenie w kwestiach bezpieczeństwa IT, 5. Czy cloud computing jest OK i dlaczego nie? File:Obcy kod (2013).pptx
  • Model bezpieczeństwa rozszerzeń Google Chrome - Krzysztof Kotowicz (SecuRing) (30 minut) - Rozszerzenia Google Chrome mogą pomóc ci w sporządzaniu notatek, pozwalają przeglądać feedy RSS, wpółdzielić odwiedzane strony ze znajomymi. Te aplikacje HTML5 mogą jednak również śledzić Cię, przekierować ruch na złośliwy serwer proxy, wykonać kod Javascript na dowolnej domenie (Global XSS), odczytać wszystkie twoje ciasteczka i całą historię. Wiele napisanych rozszerzeń zawiera podatności, dzięki którym atakujący może przejąć kontrolę nad Twoją przeglądarką. Na prezentacji dowiesz się, jak wygląda model bezpieczeństwa rozszerzeń Google Chrome, zobaczysz skutki wykorzystania podatności w popularnych rozszerzeniach. Nauczysz się również analizować kod rozszerzeń tak, aby samemu przygotowywać ataki.
  • Dyskusja na temat zagrożeń związanych z włączaniem do kodu strony obcej zawartości (reklam, statystyk, itp.) (30-60 minut) - Chcielibyśmy przeanalizować zagrożenia jakie wiążą się np. z osadzeniem w kodzie strony reklam serwowanych przez add-server. Jeśli atakujący przejmie kontrolę nad add-serverem (a nie jest to z reguły oprogramowanie pisane z myślą o bezpieczeństwie ;) to może w łatwy sposób np. osadzać wrogi kod na wszystkich stronach obsługiwanych przez add-serwer, zmieniać wygląd stron, itp. Problem będziemy chcieli omówić na przykładzie realnych incydentów - instytucji zaufania publicznego z branży finansowej oraz popularnego portalu poświęconego bezpieczeństwu IT. Liczymy na gorącą dyskusję! File:Bezpieczeństwo a zarządzanie projektami (2013).pptx

Szczegóły i rejestracja:

OWASP Poznań - 11 kwietnia 2013

Kwietniowe spotkanie OWASP w Poznaniu.


  • 15.00 - OWASP News
  • 15.15 - Jakub Masłowski "Praktyka Bezpiecznika - za kulisami w Allegro"
  • 16.00 - Jakub Tomaszewski "OWASP Top 10 2013"


Lokalizacja, dojazd i rejestracja na stronie EventBrite. Biletów nie trzeba przynosić - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu.

OWASP Warszawa - 6 marca 2013

Marcowe spotkanie OWASP w Warszawie.


  • 18:00 - 18:15 - Otwarcie spotkania, aktualności OWASP Polska
  • 18:15 - 19:00 - "Why can't we secure our applications?" - Eoin Keary, wiceprezes OWASP. Omówienie obecnej sytuacji w zakresie bezpieczeństwa aplikacji wobec aktualnych wyzwań i zagrożeń w tym obszarze (prezentacja w języku angielskim). Eoin Keary jest znanym liderem w obszarze bezpieczeństwa oprogramowania i testów penetracyjnych. W ramach działalności w OWASP nadzorował wdrażanie OWASP Testing and Security Code Review Guides oraz OWASP SAMM, ASVS and the OWASP Cheat Sheet Series. Swoją działalnością przyczynił się do rozwoju bezpieczeństwa w największych światowych korporacjach finansowych oraz FMCG.
  • 19:00 - 19:45 - "2012 w bezpieczeństwie aplikacji PHP" - Łukasz Pilorz, Allegro. Przegląd najciekawszych podatności we frameworkach i popularnych aplikacjach PHP z ostatnich kilkunastu miesięcy. Zaprezentowane zostaną przykłady podatnego kodu, praktyczne metody wykorzystania podatności, a także zaaplikowane łatki. Łukasz Pilorz jest specjalistą ds. bezpieczeństwa IT w Grupie Allegro. Prywatnie o bezpieczeństwie pisze na swoim blogu:


Lokalizacja, dojazd i rejestracja na stronie EventBrite. Biletów nie trzeba przynosić - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu.

OWASP Kraków - 20 lutego 2013

Lutowe spotkanie OWASP w Krakowie.


Farmaprom logo.jpg - sponsor spotkania.


Temat: "Czy Twój WAF to potrafi? - modsecurity."

Opis: WAF WAFowi nie równy. W dobie coraz większej liczby uruchamianych aplikacji webowych i coraz częściej przeprowadzanych na nie ataków, posiadanie firewalla aplikacyjnego stało się kluczowe, a w niektórych środowiskach wręcz wymagane. Czy jesteśmy skazani na rozwiązania komercyjne? A może nie znamy w pełni możliwości otwartoźródłowych WAFów? Podczas prezentacji przedstawię funkcjonalności drzemiące w projekcie modsecurity z uwzględnieniem realnych przypadków i własnych doświadczeń. Nie zabraknie również nowinek dotyczących rozwoju projektu jak i omówienia ciekawych sposobów jego wykorzystania jak np. wykrywanie faktycznej lokalizacji/IP atakującego za TOR-em.

O autorze: IT Security Architect w firmie Linux Polska Sp. z o.o. Lider projektu WALLF Web Gateway. Od 10 lat zawodowo związany, a prywatnie zafascynowany oprogramowaniem open source, głównie, ale nie tylko, pod kątem aspektów związanych z (nie)bezpieczeństwem IT. Instruktor/egzaminator technologii Red Hat. Prowadzi szkolenia i egzaminy ze ścieżki RHCA/RHCSS/RHCE.


Lokalizacja, dojazd i rejestracja na stronie EventBrite. Biletów nie trzeba przynosić - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu.

Confidence 2013.png - konferencja CONFidence 2013, 28-29 maja w Krakowie, zniżka 15% z kodem 2k13-owasp

Seconference logo.png - konferencja SEConference 2013, 24-25 maja w Krakowie.

Semafor 2013

Konferencja Semafor na stałe wpisała się w polski kalendarz społeczności IT i bezpieczeństwa informacji. Unikalna formuła będąca połączeniem tematyki z obszarów nadzoru IT (IT Governance) i bezpieczeństwa informacji już od pięciu lat przyciąga uwagę kadry kierowniczej przedsiębiorstw, sektora publicznego, administracji oraz organizacji pozarządowych. Konferencja stwarza warunki do bezpośrednich rozmów, dyskusji i wymiany doświadczeń między dyrektorami, menedżerami oraz ekspertami technicznymi.

Semafor 2013 umożliwia spotkanie z autorytetami branżowymi, doświadczonymi prelegentami i znanymi na całym świecie osobistościami zajmującymi się bezpieczeństwem informacji. To także okazja do zapoznania się z najnowszymi wyzwaniami bezpieczeństwa, trendami zagrożeń, standardami i rozwiązaniami technicznymi w obszarze IT i ochrony informacji.

Konferencja Semafor 2013 jest organizowana po raz szósty, pierwsza odbyła się w 2007 roku. Wydarzenie organizują stowarzyszenia ISSA Polska i ISACA Warsaw Chapter oraz magazyn Computerworld. W przygotowaniu spotkania udział bierze stowarzyszenie OWASP Polska i Fundacja Bezpieczna Cyberprzestrzeń. Nad programem konferencji czuwa Rada Programowa, w której zasiadają doświadczeni przedstawiciele ww. organizacji, przedstawiciele kierownictwa IT i komórek bezpieczeństwa w czołowych firmach branży finansowej, technologicznej, telekomunikacyjnej, energetycznej i sektora publicznego.

Wśród prelegentów można spotkać wybitnych przedstawicieli ze świata IT i bezpieczeństwa takich jak Ira Winkler, John Mitchell, Raoul Chiesa czy Eoin Keary.

OWASP Poznań - 31 stycznia 2013

Zapraszamy na pierwsze spotkanie OWASP Poland w Poznaniu. Dostępny jest kompletny zapis video ze spotkania.

Rejestracja i informacje dojazdu na stronie Biletów nie trzeba drukować - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu itd.


OWASP Kraków - 5 grudnia 2012

Grudniowe spotkanie OWASP Poland odbędzie się w Krakowskim Parku Technologicznym:

  • OWASP News
  • Robert Pająk, CSO - "Bezpieczeństwo aplikacji - jak to u nas działa?"
  • Piotr Bucki, J-Labs - "Frameworki J2EE vs cross-site scripting"

Szczegóły dojazdu i rejestracja na stronie EventBrite. "Biletów" nie trzeba drukować - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu itd.

Spotkanie OWASP Kraków - 26 września 2012

Wrześniowe spotkanie OWASP Poland odbędzie się tradycyjnie w Krakowskim Parku Technologicznym (Aleja Jana Pawła II 41L 31-000 Kraków‎). Program spotkania:

Rejestracja: G+ FB LinkedIn

Spotkanie OWASP Warszawa - 9 października 2012

Miejsce spotkania: Ernst & Young, Rondo ONZ 1, Warszawa, Sala: 14-40 (pietro 14), 18:00-20:00

Prosba o potwierdzenie uczestnictwa do: [email protected] lub na


  • 18:00 - 18:15 - Otwarcie spotkania, aktualnosci OWASP Polska
  • 18:15 - 19:00 - Bankowosc mobilna - analiza ryzyka na przykladzie telefonow iPhone
    • Czy bankowosc mobilna jest bezpieczna? Jakie sa glowne zagrozenia dla przecietnego uzytkownika? Pokazemy tez, jak sprawdzic, czy aplikacja mobilna jest dobrze napisana. Podczas spotkania omowimy i zweryfikujemy na zywo kluczowe mechanizmy bezpieczenstwa.
    • Prowadzacy: Mariusz Burdach, Prevenity
  • 19:00 - 19:45 - Zapewnienie bezpieczenstwa w calym cyklu zycia aplikacji - czyli dlaczego lepiej zapobiegac chorobom, niz leczyc je w zaawansowanym stadium
    • Obecnie powszechne jest testowanie penetracyjne aplikacji przed wdrozeniem w srodowisku produkcyjnym korzystajac z uslug firm zewnetrznych. Pozwala to wykryc istotne z punktu widzenia bezpieczenstwa bledy i zweryfikowac poprawnosc calego procesu tworzenia aplikacji lub wprowadzania w niej zmian. Co bedzie, jesli powazne bledy zostana znalezione na tym etapie? Ile kosztuje ich naprawienie i czy tych kosztow mozna byloby uniknac? W trakcie prezentacji opowiem o praktykach, ktore pozwalaja uzyskac mozliwie najwyzsza jakosc aplikacji w calym cyklu jej zycia - jednoczesnie ograniczajac koszty bledow.
    • Prowadzacy: Jakub Botwicz, Ernst & Young
  • 19:45 - 20:00 - Kwestie dodatkowe, zamkniecie spotkania

Spotkanie OWASP Kraków - 22 maja 2012

Wstępna agenda na 22 maja 2012:

  • Piotr Bucki, "Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku CSRF" (File:Prezentacja csrf j-labs.pdf)
    • Na wykładzie pokażemy na czym polega atak CSRF. Następnie pokażemy jakie zabezpieczenia (i czy w ogóle) oferują popularne WEBowe frameworki Java.
  • Łukasz Tomaszkiewicz, "Hardening IIS" (File:Hardening iis.pdf)
    • Patchowanie systemów (+ Baseline Security Analyzer)
    • Web Application Security Analyzer
    • Usunięcie niepotrzebnych komponentów IIS
    • Bezpieczeństwo adresów (długie URLe i query stringi, UTF w URLach, double-encoded requests)
    • Ukrywanie banerów i stron błędów
    • URLScan
    • Konta Application Pool
    • Bezpieczeństwo systemu plików
    • Limitowanie ilości połączeń (anty-DoS)
    • Wymuszanie mocnego szyfrowania SSL + ustawianie zaufanych certyfikatów dla usług działających w oparciu o IIS
  • w trakcie ustalania

Lokalizacja i mapka na stronie Eventbrite. Prosimy o rejestrację (pobranie darmowych "biletów") żebyśmy wiedzieli ile osób się mniej więcej spodziewać. Spotkanie koordynuje Paweł Krawczyk (+48-602-776959).


Dla tych, którzy nie będą mogli uczestniczyć osobiście, postaramy się udostępnić streaming za pomocą GoToMeeting (Meeting ID: 464-904-886).

Uwaga: Wymagana instalacja oprogramowania GoToMeeting. Ilość uczestników on-line jest ograniczona (25 połączeń). Start - godzina 18:00.

CONFidence 2012


CONFidence nabiera rozpędu, więc przygotujcie się na dwa dni ekstremalnie zapełnione wykładami i atrakcjami! Tego jeszcze nie było! Prezentacje podzielone na cztery grupy tematyczne (2 ścieżki na dzień), ponad 30 prelegentów, nowinki z branży, warsztaty oraz gra szpiegowska X-traction Point, która zaskoczy wszystkich!

Wtępnie agenda zawiera wydzielone cztery ścieżki tematyczne:

- WebSec, bezpieczeństwo aplikacji webowych,

- Cross- Layer, protokoły komunikacyjne, Serwery, Aplikacje,

- AppSec, bezpieczeństwo i dziury w aplikacjach,

- Pwnage, omijanie zabezpieczeń.

Prelegenci, którzy wystąpią na konferencji to : John “Captain Crunch” Draper, Gregor Kopf, Ashar Javed, Alexey Sintsov, Luiz Eduardo, Luiz Eduardo, Zane Lackey, Raoul Chiesa i wielu innych.

Szczegóły dotyczące agendy znajdują się na stronie: [1]

Jak zawsze na konferencji pojawią się panele dyskusyjne prowadzone przez światowej klasy specjalistów, panel „Bezpieczna aplikacja webowa - czy to możliwe?” prowadzony przez Mario Heiderich oraz Garetha Hayes.

Uruchomiliśmy również warsztaty, które odbywać się będą przed, jak i po konferencji. Dla zainteresowanych, jako pierwsze w kolejności proponujemy warsztaty organizowane przez Compendium. Zakończ CONFidence 2012 z oficjalnym certyfikatem ISECOM w pakiecie z egzaminem wieńczącym szkolenia.

Ciekawym dodatkiem do głównych prezentacji będą również prezentacje w ramach Lightning Talks. Krótkie 5-minutowe wystąpienia uczestników konferencji podczas przerw między wykładami docelowymi. Tematy zahaczają zarówno ciekawe projekty, wyniki badań, intrygujące hobby czy dowolne wątki, które Waszym zdaniem mogą zainteresować publiczność. Każdy uczestnik ma możliwość zgłoszenia swojego tematu w ramach wolnych miejsc.

Elementem całkowicie innowacyjnym i kreatywnym będzie zabawa pod nazwą X-traction Point, które debiutuje na tegorocznym CONFidence. Uczestnicy będą mogli sprawdzić swoje umiejętności z zakresu lockpickingu, wiedzy o alarmach, detektorach ruchu i dźwięku oraz podstawowej wiedzy hackowania. A to wszystko podczas zadania infiltracji bunkra i uratowania zakładnika! Wszystko na żywo i z poglądem z kamer. Zapowiada się niezapomniany turniej!

To i wiele wiele innych atrakcji już 23- 24 maja w Krakowie! CONFidence 2012 - bądź przygotowany na prawdziwe wyzwania!

Kod rabatowy dla osób rejestrujących się via OWASP: 2012-owasp 15% zniżki na opłatę konferencyjną.


CONFidence gaining momentum, so get ready for two days filled with lectures and extreme attractions! The presentations will be divided into four theme groups (2 each day) with more than 30 speakers, unpublished materials, workshops and a special X-traction point game, which is something you haven't seen before!

Schedule template contains four separate thematic tracks: -WebSec – Web application Security

-Cross-Layer – Communication protocols, Servers, Applications, Misc

-AppSec – Security and Application Flaws

-Pwnage – Bypassing the security systems, hacking technologies

Some of the speakers at the conference include John "Captain Crunch" Draper, Gregor Kopf, Ashar Javed, Alexey Sintsov, Eduardo Luiz, Luiz Eduardo, Zane Lackey, Raoul Chiesa and many more.

Details of the schedule can be found at: [2]

As always at the conference there will be discussion panels led by world-class experts, including, "Secure Web application - is it possible?" panel led by Mario Heiderich and Gareth Hayes.

There will also be additional workshops before and/or after the conference, inlucing a special workshop prepared by Compendium, where you can prepare for and obtaining an ISECOM certificate.

Apart from the normal presentations, there will be special Ligtning Talks track spread over two days. Attendees will be able to perform short, 5 minutes long presentations, covering all range of topics ranging from their projects, research results to even some specific hobbies. Every conference attendee has a possibility to submit a topic for as long as there are free slots for the talks.

For the very first time, we will deploy an X-traction Point contest, where attendees will be given a possibility to test their skills in lockpicking, knowledge about alarm systems, motion and sound detectors along with basic hacking skills. They will have to use their knowledge in a live bunker infiltration, get behind the security systems, pass the guards and save a prisoner. All that live streamed for the audience. This will be spectacular!

Prepare for all that during the CONFidence 2012, which will be held in Krakow on 23-24th of May.

15% discount, when registering via OWASP, use this code during registration: 2012-owasp

Więcej na stronie konferencji.


W ramach tegorocznej edycji KrakYourNet (14 - 21.04) an AGH w Krakowie Wojciech Dworakowski zaprezentował dokumenty i narzędzia rozwijane w ramach działalności OWASP. Prezentację można pobrać tutaj.

Więcej informacji na temat wykładu tutaj.

21. March 2012

Zapraszamy wszystkich zainteresowanych na spotkanie OWASP Poland Local Chapter, poświęcone tematyce bezpieczeństwa aplikacji webowych.


21 marca 2012, 18.00 - 20.00


Krakowski Park Techniologiczny (Al. Jana Pawła II 41 L), sala konferencyjna na III piętrze.

Lokalizacja na mapie. Dojazd liniami: 4, 10, 15,40 - przystanek "AWF".

Wstęp wolny. Prosimy o potwierdzenie uczestnictwa.


Tak jak poprzednim razem będzie możliwość zdalnego uczestnictwa za pomocą GoToMeeting (Meeting ID: 759-783-526): link

Uwaga: Wymagana instalacja oprogramowania GoToMeeting. Ilość uczestników on-line jest ograniczona (25 połączeń).


Analiza statyczna języka PHP

Mateusz Kocielski, LogicalTrust
18.00 - 19.15


Analiza statyczna jest jedną z metod wyszukiwania błędów oraz poprawiania jakości oprogramowania.
Zaczynając od historii i podstaw teoretycznych, a kończąc na praktycznych aspektach i zero dayach,
dowiemy się jak wykorzystać wszystkie jej dobrodziejstwa na przykładzie języka php.
Wykład przeznaczony jest dla wszystkich, którzy mają jakikolwiek związek z wytwarzania oprogramowania.

  • 19.15 - 19.30 Przerwa / networking

Web Application Firewall 101

Przemysław Skowron
19.30 - 20.00


Web Application Firewall to kolejna (czasem jedyna!) warstwa
bezpieczeństwa w środowisku pracy aplikacji webowych. Pozwala na
monitoring i ochronę aplikacji. Może służyć jako "Strażak" w czasie
pożaru i często stosowany jest tylko do tego. W "kwadrans" postaram
się przybliżyć: czym jest WAF, w jakich architekturach możemy go
wdrożyć, jakie mamy WAFy na rynku, jak wybrać ten najlepszy dla nas, w
jakich trybach działa, w oparciu o co może reagować, jak się ma WAF do
OWASP Top10 i czym jest OWASP CRS.

Meeting Supporter

Sponsorem spotkania jest firma Logicaltrust-logo.png.


We have the pleasure to inform You that on February 23-24, 2012, the SEMAFOR (Security, Management, Audit Forum) conference will take place in Warsaw. The conference is held by ISSA Poland, ISACA Warsaw Chapter and the Computerworld with active support of OWASP Poland. OWASP members have 10% of discount for this event.

For more information about SEMAFOR 2012, please visit:

18. January 2012

We're meeting in Krakow on 18. January 2012 in Krakow Technology Park (Czyżyny) (Al. Jana Pawła II 41 L) at 6pm, conference hall on 3rd floor. This meeting is organized jointly by ISSA Poland. Please confirm Your attendance here.



Ziemia niczyja - czyli podatności we frameworkach i bibliotekach J2EE.

Sławomir Jasek (SecuRing)

Podatności obecne w aplikacjach mogą wynikać z błędów popełnionych przez programistów, ale także ze słabości istniejących w zastosowanych frameworkach i bibliotekach.

Z mojego doświadczenia wynika, że ten drugi aspekt jest często pomijany przy projektowaniu bezpieczeństwa aplikacji a także w trakcie utrzymania aplikacji (uaktualniane jest oprogramowanie serwerowe ale nie biblioteki wchodzące w skład aplikacji).

Prezentacja ma na celu naświetlenie tego problemu przez pokazanie przykładów ciekawych, a jednocześnie łatwych do przeoczenia podatności, występujących w popularnych bibliotekach/frameworkach J2EE takich jak Struts, Spring MVC.

Obrona aplikacji webowej ASP.Net: XSS

Mateusz Olejarka (VSoft)

Prezentacja ma celu zarysować dość szeroką tematykę zwiazaną z XSS'em. Na początku pojawi się kilka pojęć i faktów dotyczących XSS, w głównej części omówimy

sobie możliwości jakie mamy, aby zabezpieczyć naszą aplikację, mechanizm Request Validation, HttpUtility, AntiXSS.

Popularne błędy w aplikacjach Ruby on Rails

Paweł Krawczyk (

Ruby on Rails uchodzi za framework ułatwiający pisanie bezpiecznych aplikacji - i takim jest w istocie.

Nie znaczy to jednak, że samo RoR w magiczny sposób naprawi dziury wynikające z braku dbałości o bezpieczeństwo.

W prezentacji pokażę typowe błędy popełniane przez programistów RoR oraz narzędzia, które umożliwiają wyłapanie większości z nich w półautomatyczny sposób.


15. December 2011

Zaproszenie na kolejne spotkanie OWASP w Warszawie / Invitation for the next OWASP meeting in Warsaw

Tym razem prezentacje beda w języku angielskim / This time the presentations will be in English

Data i miejsce spotkania / Date and place of the meeting:

15 grudzien 2011 / 15 December 2011 Ernst & Young Rondo ONZ 1, Warszawa Sala: 14-40 (piętro 14) 18:00-20:00

Prosba o potwierdzenie uczestnictwa do: [email protected] / Please confirm your attendance to: [email protected]


Więcej informacji o prelegentach / More information about the presenters:

Jakub Syta, IMMUSEC

Ekspert w zarzadzaniu bezpieczenstwem informacji i ciagloscia dzialania, zdobyl doswiadczenie w szeregu zagadnien z zakresu ochrony fizycznej oraz przeciwdzialania naduzyciom. Ostatnie lata spedzil kierujac dzialem bezpieczenstwa w jednym z najwiekszych swiatowych bankow bedac odpowiedzialnym za dostarczanie uslug bezpieczenstwa dla kilku krajow. Od 2010 jest wspolnikiem w spolce doradczej IMMUSEC. Prelegent na krajowych i miedzynarodowych konferencjach, doswiadczony wykladowca. Ekspert w Podkomitecie ds. ISMS przy KT 182 w Polskim Komitecie Normalizacyjnym, byly czlonek zarzadu ISACA Polska, doktorant na Wydziale Zarzadzania Politechniki Warszawskiej. Jest audytorem wiodacym ISO 27001 i ISO 9001, legitymuje sie certyfikatami takimi jak CISA, CISSP, CRICS, ITIL Foundation.

Michele Orru', Royal Bank of Scotland
Michele Orru' a.k.a. antisnatchor is an IT and ITalian security guy who works as a Penetration Tester for The Royal Bank of Scotland Group in Warsaw, Poland. He mainly focus his research on web application security. Besides his nasty passion about black, gray, white hat hacking and BeEF (being an active committer since the Ruby port started), he enjoys to leave alone his Mac while fishing on salted water and preys for Kubrick resurrection.

23. November 2011 - Cracow

We're meeting in Krakow on 23. November 2011 in Krakow Technology Park (Czyżyny) (Al. Jana Pawła II 41 L) at 6pm, conference hall on 3rd floor. This meeting is organized jointly by ISSA Poland.


Meeting supporter for this event is, which will provide delicious cupcakes and coffee :).

3 rd SASMA & LIQUIDNEXXUS Business Security Conference

On 17. November 2011- Warsaw during 3 rd SASMA & LIQUIDNEXXUS Business Security Conference Mateusz Olejarka will be speaking about Application Security Threats and OWASP TOP 10.

More details here.

OWASP & ISACA Katowice Chapter-in-formation

On 20. October in Cracow University of Economics during ISACA Katowice Chapter-in-formation meeting Wojciech Dworakowski will be speaking about OWASP and Web Application Security.
More information:

OWASP Poland Partnership during Secure 2011

Secure 2011 is international conference on telecommunications and IT security organized by CERT Poland on 24-26 October 2011 in Warsaw.

More information:

27. September 2011 - Warsaw

We're meeting in Warsaw on 27. September 2011 in Ernst & Young (Rondo ONZ 1, Warszawa, room 14-40, floor 14). Please confirm your attendance by sending email to [email protected] as amount of places is limited. Agenda:

  • 18:00 - 18:15 - Otwarcie spotkania, aktualności OWASP Polska
  • 18:15 - 19:00 - "Bezpieczeństwo aplikacji mobilnych" - Aleksander Ludynia, Ernst & Young
    Aleksander jest Konsultantem w Dziale Zarządzania Ryzykiem Informatycznym w Ernst & Young odpowiedzialnym za realizację projektów związanych z bezpieczeństwem systemów informatycznych. Specjalizuje się w testach penetracyjnych aplikacji internetowych oraz przeglądach bezpieczeństwa.
    Abstrakt: Skala i charakter wykorzystania aplikacji mobilnych zmieniają się w bardzo dynamicznym tempie. Równolegle rozwija się działalność przestępców komputerowych, prowadzących różnego rodzaju ataki, których celem są urządzenia przenośne. Podczas prezentacji zostanie omówiona sytuacja na rynku aplikacji mobilnych, a także zagrożenia związane z ich wykorzystaniem. Ponadto, omówione zostaną podstawowe techniki wykorzystywane podczas testów penetracyjnych tego typu aplikacji. Prezentacja będzie wstępem do szerszej dyskusji dotyczącej zagadnieńzwiązanych z bezpieczeństwem aplikacji mobilnych.
  • 19:00 - 19:45 - "Zarządzanie sesją w aplikacjach internetowych" - Sławomir Rozbicki, PKO BP
    Sławek jest specjalistą w zespole Bezpieczeństwa Internetowego i Telekomunikacyjnego Banku PKO BP. Do jego obowiązków należy głównie wykonywanie testów penetracyjnych aplikacji internetowych, infrastruktury teleinformatycznej oraz bieżący monitoring incydentów bezpieczeństwa.
    Abstrakt: Mechanizmy zarządzania sesją aplikacji internetowych mają znaczący wpływ na ich bezpieczeństwo. Pomimo to niedocenianie ryzyka związanego z ich nieprawidłową implementacją wydaje się być częstą praktyką. Zawarte w prezentacji materiały mają za zadanie zwrócić uwagę na podstawowe wektory ataku oraz ułatwić ocenę podatności poszczególnych elementów sesji na ataki. Przedstawione przykłady pokazują jak nawet najsilniejsze mechanizmy uwierzytelnienia mogą zostać ominięte, w przypadku wykorzystania słabości związanych z nieprawidłową obsługą sesji.
  • 19:45 - 20:00 - Kwestie dodatkowe, zamknięcie spotkania

14. September 2011 - Krakow

We're meeting in Krakow on 14. September 2011 in Krakow Technology Park (Czyżyny) (Al. Jana Pawła II 41 L) at 6pm, conference hall on 3rd floor. Note date change to 14. September (previously announced date was 13. September).

Google Maps link.


  • OWASP news
  • Uczący się firewall webowy - nowy polski projekt (Marek Zachara, AGH). Streszczenie:
Inteligentne systemy, analizujące i dopasowujące się do wzorców zachowań użytkowników zdobywają kolejne pola zastosowań. W trakcie wykładu zostanie zaprezentowane wykorzystanie takich metod do tworzenia samo-uczącego się firewalla aplikacyjnego (ang. Learning Web Application Firewall). LWAF potrafi (na podstawie analizy ruchu) stworzyć oczekiwane wzorce przychodzących danych - a co za tym idzie, zidentyfikować nietypowe zachowania użytkowników - i ochronić w ten sposób aplikację przed próbami ataku. Wyniki działania takiego firewall-a, a także podstawowa analiza teoretyczna zostanie zaprezentowana na bazie przygotowanej przez autorów implementacji tej techniki w formie modułu do serwera Apache.

Download paper: Learning Web Application Firewall - Benefits and Caveats, slides: File:LWAF.pptx

Intelligent systems that process and analyze patterns in human behavior have been gaining traction in various fields of use. During the lecture, we will present a Learning Application Firewall (LWAF) which utilizes such methods to analyze the traffic patterns, constructs expected data patterns and can protect the application from harmful attack attempts. Resluts from experiments, as well as theoretical background will be presented based on the reference implementation of the LWAF as Apache module, prepared by the authors
HTML5 to ulubieniec współczesnych przeglądarek i webdeveloperów, ale może zostać również wykorzystany w złych celach. Przedstawimy najnowsze metody ataków na aplikacje internetowe z wykorzystaniem HTML5 oraz różnych technik UI redressing, a także sposoby ukrycia ataku w mechanizmach gry online. Zobaczycie demonstracje rzeczywistych ataków na popularne serwisy internetowe z wykorzystaniem opisanych metod.
Download: File:Html5-something wicked this way comes owasp.pdf
HTML5 is a favorite of modern browsers and web developers. Likewise, it can used for evil purposes. We will cover new attacks on web applications, which use HTML5 and UI redressing techniques and ways to cover it up in an online game logic. We shall see the demos of real attacks on popular web sites which includes described methods.

Generally - all lectures are in Polish. If you would like to attend and do not know Polish, please contact meeting coordinator.

This meeting is organized jointly by ISSA Poland. Questions or issues? Contact meeting coordinator Wojtek Dworakowski +48-506-184550.

If you would like to make a presentation, or have any questions about the Poland Chapter, send an email to Chapter Leader or any Chapter Board member.

30. June 2011 - Warsaw, ISSA InfoTRAMS

All OWASP Poland, ISSA Poland and CISSP holders are entitled to free entry to InfoTRAMS conference that will be held at TPSA conference venue Twarda street 18 in Warsaw.

23. May 2011 - Krakow

23. May 2011 in Krakow Technology Park (Czyżyny) at 6pm, conference hall on 3rd floor.

Two research topics were presented (both in Polish):

OWASP Partnership during CONFidence 2011

CONFidence is an annual IT security conference that will take place on 24-25th May, 2011 in Krakow, Poland for the 9th time!

More information:

OWASP Partnership during Banking Forum 11-12th May 2011

Banking Forum is a major event organized for managers of polish financial institutions.

OWASP Poland Chapter was Partnership of this event and our representatives took part in panel discussions about security of financial applications and security in software development lifecycle.

On 24th March 2011 - Krakow

6:15pm - 6:30pm ... "OWASP News" - Przemyslaw Skowron, OWASP Leader
6:30pm - 7:00pm ... "Source Code Scanners" - Pawel Krawczyk
7:00pm - 8:00pm ... "Penetration testing - panel discussion"

On 27th January 2011 - Warsaw

6:00pm - 6:40pm ... "OWASP News" - Przemyslaw Skowron, OWASP Leader
6:45pm - 7:20pm ... "Cross-Site Scripting" - Michal Kurek, Ernst&Young
7:25pm - 8:00pm ... "Phishing" - Tomasz Sawiak, Safe Computing

On 20th January 2011 - Krakow

6:15pm - 6:25pm ... "OWASP News" - Przemysław Skowron, OWASP Leader
6:30pm - 7:10pm ... "Advanced Data mining" - Jakub Kaluzny
7:15pm - 8:00pm ... "OWASP ASVS - panel discussion" - Wojciech Dworakowski, Securing


OWASP Partnership during seminar InfoTRAMS - Privacy at work

9th of December 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.

More information:

OWASP Poland Partnership during Secure 2010

25-27th of October 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.

Secure 2010

More information:

OWASP Partnership during seminar InfoTRAMS - Cloud computing

30th of June 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.

More information:

On 10th June 2010

6:00pm - 6:15pm ... "OWASP News" - Przemyslaw Skowron /PL/ - Slides
6:15pm - 7:10pm ... "Creating, obfuscating and analysis of JavaScript-based malware." - Krzysztof Kotowicz /PL/ - Slides | Video
7:15pm - 8:00pm ... "Network Forensic: what captured packets say" - Paweł Goleń /PL/ - Slides | Video

OWASP Partnership during KrakSpot Tech #1

8th of June 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership.

More information:

OWASP Partnership during CONFidence 2010

25-26th of May 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership.

More information:

On 13th May 2010

6:05pm - 7:00pm ... "Drive-by download attacks" - Filip Palian /PL/ - Slides | Video
7:05pm - 7:50pm ... "Detection and analysis of malicious web sites" - Łukasz Juszczyk /PL/ - Slides | Extra#1 | Extra#2 | Video

OWASP Partnership during SEConference 2010

9-10th of April 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership.

During meetings there will be a few talks dedicated the OWASP Projects.
More information:

On 17th March 2010

6.10pm - 6.50pm ... "Workshop: CISSP - Telecommunications and Network Security" - Julia Juraszek, ISSA Polska, Polkomtel S.A.
7.00pm - 7.40pm ... "OWASP - Incident handling: Web Application Attacks" - Przemyslaw Skowron, OWASP Poland /PL/ - Slides

On 10th March 2010

5:00pm - 5:05pm ... "OWASP News" - Przemyslaw Skowron /PL/ - Slides
5:05pm - 6:10pm ... "SQL Injection: complete walktrough (not only) for PHP developers" - Krzysztof Kotowicz /PL/ - Slides | Video
6:15pm - 7:20pm ... "Secure PHP framework" - Łukasz Pilorz /PL/ - Slides | Video

OWASP Poland Partnership during SEMAFOR 2010

26-27th of January 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.


During meetings there will be a few talks dedicated the OWASP Projects.
More information:

On 14th January 2010

6:20pm - 6:30pm ... "OWASP News" - Przemyslaw Skowron
6:30pm - 7:15pm ... "Fuzzing" - Piotr Laskawiec /PL/ - Slides, /EN/ - Slides
7:15pm - 8:00pm ... "Security in Software Development Life Cycle" - Wojtek Dworakowski /PL/ - Slides


On 10th December 2009

6:30pm - 6:45pm ... "OWASP News" - Andrzej Targosz, Przemyslaw Skowron
6:50pm - 7:25pm ... "OWASP Top 10 2010" - Przemyslaw Skowron /PL/ - OWASP_Top10_2010-RC1-PL by Michał Wiczyński
7:30pm - 8:10pm ... "Real Life Information Security" - Pawel Krawczyk /EN/ - Slides

On 12th February 2009

6:00pm - 6:30pm ... "OWASP News" - Andrzej Targosz
6:30pm - 7:30pm ... "Blind SQL Injections" - Jacek Wlodarczyk /PL/ - Slides
7:30pm - 9:30pm ... OWASP UNConference


On 11th December 2008

6:00pm - 7:00pm ... "Hack tool Firefox" - Filip Palian
7:00pm - 8:15pm ... "OWASP where we were, where we are now, and where we are going..." - Andrzej Targosz

On 23th October 2008

6:15pm - 7:10pm ... "Wargame @ Confidence/OWASP EU 2008 vs. OWASP Testing Guide" - Przemysław Skowron /PL/ - Slides , MindMap
7:15pm - 8:10pm ... "Intrusion detection for web applications" - Łukasz Pilorz /EN/ - Slides
8:15pm - 9:10pm ... "Session management for Web Application" - Paweł Goleń /PL/ - Slides

On 25th April 2008

5:15pm - 5:30pm ... "OWASP News" - Andrzej Targosz
5:30pm - 5:45pm ... "Short introduction to WarGame - CONFidence & OWASP EU" - Przemyslaw 'rezos' Skowron
5:45pm - 6:45pm ... "Introduction to Web Applications Security" - Filip Palian

OWASP Partnership during QAFA and TMS

7-8th of April 2008 there will be two interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership:
- TMS - "Test Management Summit"
- QAFA - "Quality for Financial Applications"
During meetings there will be special talk about OWASP Testing metodology.


On 06th September 2007

6:00pm - 7:00pm ... "OWASP" - Robert 'shadow' Pajak
7:00pm - 8:00pm ... "OWASP SPoC" - Przemyslaw 'rezos' Skowron
8:00pm - 9:00pm ... "Penetration tests OWASP in practice" - Jarek Sajko


  • Presentation: OWASP Intro By Robert 'Shadow' Pajak - Slides
  • Presentation: OWASP SPoC By Przemyslaw 'rezos' Skowron - Slides
  • Presentation: Penetration tests OWASP in practice By Jarek Sajko - Slides

On 19th April 2007

5:30pm - 6:30pm ... "Application security testing - attack trends" - Przemyslaw Skowron
6:30pm - 7:30pm ... Auditor work standards
7:30pm - 7:45pm ... OWASP Inauguration

You could join free, registration not required. Please invite all friends interested in security.

ISSA Poland
Sponsor of OWASP Krakow meetings:
Krakowski Park Technologiczny