Poland

2013

OWASP Poznań - 24 września 2013

Zapraszamy na trzecie spotkanie OWASP Poland w Poznaniu, 24 września 2013 (wtorek) o godzinie 15:00 w Centrum Konferencyjnym IOR, ul. Władysława Węgorka 20A (wejście od Grunwaldzkiej)

Program:

• 15.00 - OWASP News
• 15.10 - Taras Ivashchenko "Content Security Policy"
• 15.55 - przerwa kawowa
• 16.10 - Michał Olczak "Antimalware Webapp Solution"
• 16.55 - TBA

Rejestracja: https://owasppoznan.eventbrite.com

OWASP Warszawa - 26 czerwca 2013

Czerwcowe spotkanie OWASP w Warszawie.

Program:

• 18:00 - 18:15 - Otwarcie spotkania, aktualnosci OWASP Polska
• 18:15 - 19:00 - "Ataki rozproszonej odmowy usługi - przegląd zagrożeń" - Aleksander Ludynia, Menedżer, Ernst & Young
• 19:00 - 19:30 - "Ataki rozproszonej odmowy usługi - omówienie zabezpieczeń" - Paweł Chwiećko, Senior Security Engineer, VP

Dostępność danych jest kluczowym czynnikiem dla efektywnej realizacji działalności biznesowej. Jako niezwykle istotny element biznesu stała się ona celem poważnych ataków mających na celu uniemożliwienie dostępu do danych - ataków Denial of Service (DoS). Podczas pierwszej prezentacji zostaną omówione ataki DoS oraz DDoS, ich parametry, statystyki oraz źródła pochodzenia. Zademonstrowane zostaną również narzędzia, za pomocą których są one prowadzone. Druga prezentacja poruszy problematykę skutecznej obrony przed atakami DDoS oraz będzie wstępem do dyskusji dotyczącej zagadnień związanych z atakami odmowy usługi.

Aleksander jest Managerem w Dziale Zarządzania Ryzykiem Informatycznym w Ernst & Young odpowiedzialnym za realizację projektów związanych z bezpieczeństwem systemów informatycznych. Specjalizuje się w testach penetracyjnych aplikacji internetowych oraz przeglądach bezpieczeństwa.

Paweł od 12 lat zajmuje się bezpieczeństwem i ochroną informacji. Od 6 lat związany z globalną instytucją finansową. W latach 2007-2010 członek zespołu EMEA Security Engineering w Londynie zajmującego się m.in. projektowaniem i wdrażaniem rozwiązań network security w regionie EMEA. Od 2011 r. członek zespołu Global Network Security Threat Defense Engineering zajmującego się m.in. testowaniem i opracowywaniem rozwiązań DDoS Protection, IDPS, SSL Decryption, NAC. Główne obszary zainteresowań w bezpieczeństwie informacji to Cyber Crime i Cyber Wars.

Rejestracja:

Lokalizacja, dojazd i rejestracja na stronie EventBrite.

OWASP Kraków - 8 maja 2013

Majowe spotkanie OWASP w Krakowie.

Program

• OWASP News
• Bezpieczeństwo a zarządzanie projektami - Wojciech Dworakowski (30 minut) - Jak NIE bawić się w IT, czyli słów kilka o błędach większych i mniejszych w zarządzaniu (nie tylko) systemami i sprzętem. Prezentacja zawiera studium kilku autentycznych przypadków, które spotkały autora prezentacji i jego znajomych, pracujących w branży IT. Całość podzielona jest na analizę kilku sytuacji, wśród których poruszane są następujące tematy: 1. Mimowolne udostępnienie poufnych danych oraz danych osobowych, 2. Problemy występujące na styku zarządzania zespołem i kwestiami technicznymi (z punktu widzenia administratora sieci i systemu) – omówienie zagrożeń związanych również z bezpieczeństwem tych sieci/systemów, 3. Słabe punkty „mocnych” systemów zabezpieczeń – czyli dlaczego nawet atak fizyczny na biuro firmy ma szansę powodzenia, 4. Błędy popełniane często przez kierowników zespołów, a mogące mieć kluczowe znaczenie w kwestiach bezpieczeństwa IT, 5. Czy cloud computing jest OK i dlaczego nie? File:Obcy kod (2013).pptx
• Model bezpieczeństwa rozszerzeń Google Chrome - Krzysztof Kotowicz (SecuRing) (30 minut) - Rozszerzenia Google Chrome mogą pomóc ci w sporządzaniu notatek, pozwalają przeglądać feedy RSS, wpółdzielić odwiedzane strony ze znajomymi. Te aplikacje HTML5 mogą jednak również śledzić Cię, przekierować ruch na złośliwy serwer proxy, wykonać kod Javascript na dowolnej domenie (Global XSS), odczytać wszystkie twoje ciasteczka i całą historię. Wiele napisanych rozszerzeń zawiera podatności, dzięki którym atakujący może przejąć kontrolę nad Twoją przeglądarką. Na prezentacji dowiesz się, jak wygląda model bezpieczeństwa rozszerzeń Google Chrome, zobaczysz skutki wykorzystania podatności w popularnych rozszerzeniach. Nauczysz się również analizować kod rozszerzeń tak, aby samemu przygotowywać ataki.
• Dyskusja na temat zagrożeń związanych z włączaniem do kodu strony obcej zawartości (reklam, statystyk, itp.) (30-60 minut) - Chcielibyśmy przeanalizować zagrożenia jakie wiążą się np. z osadzeniem w kodzie strony reklam serwowanych przez add-server. Jeśli atakujący przejmie kontrolę nad add-serverem (a nie jest to z reguły oprogramowanie pisane z myślą o bezpieczeństwie ;) to może w łatwy sposób np. osadzać wrogi kod na wszystkich stronach obsługiwanych przez add-serwer, zmieniać wygląd stron, itp. Problem będziemy chcieli omówić na przykładzie realnych incydentów - instytucji zaufania publicznego z branży finansowej oraz popularnego portalu poświęconego bezpieczeństwu IT. Liczymy na gorącą dyskusję! File:Bezpieczeństwo a zarządzanie projektami (2013).pptx

Szczegóły i rejestracja: http://www.eventbrite.com/event/6458841569

OWASP Poznań - 11 kwietnia 2013

Kwietniowe spotkanie OWASP w Poznaniu.

Program:

• 15.00 - OWASP News
• 15.15 - Jakub Masłowski "Praktyka Bezpiecznika - za kulisami w Allegro"
• 16.00 - Jakub Tomaszewski "OWASP Top 10 2013"

Rejestracja:

Lokalizacja, dojazd i rejestracja na stronie EventBrite. Biletów nie trzeba przynosić - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu.

OWASP Warszawa - 6 marca 2013

Marcowe spotkanie OWASP w Warszawie.

Program:

• 18:00 - 18:15 - Otwarcie spotkania, aktualności OWASP Polska
• 18:15 - 19:00 - "Why can't we secure our applications?" - Eoin Keary, wiceprezes OWASP. Omówienie obecnej sytuacji w zakresie bezpieczeństwa aplikacji wobec aktualnych wyzwań i zagrożeń w tym obszarze (prezentacja w języku angielskim). Eoin Keary jest znanym liderem w obszarze bezpieczeństwa oprogramowania i testów penetracyjnych. W ramach działalności w OWASP nadzorował wdrażanie OWASP Testing and Security Code Review Guides oraz OWASP SAMM, ASVS and the OWASP Cheat Sheet Series. Swoją działalnością przyczynił się do rozwoju bezpieczeństwa w największych światowych korporacjach finansowych oraz FMCG.
• 19:00 - 19:45 - "2012 w bezpieczeństwie aplikacji PHP" - Łukasz Pilorz, Allegro. Przegląd najciekawszych podatności we frameworkach i popularnych aplikacjach PHP z ostatnich kilkunastu miesięcy. Zaprezentowane zostaną przykłady podatnego kodu, praktyczne metody wykorzystania podatności, a także zaaplikowane łatki. Łukasz Pilorz jest specjalistą ds. bezpieczeństwa IT w Grupie Allegro. Prywatnie o bezpieczeństwie pisze na swoim blogu: http://lukasz.pilorz.net

Rejestracja:

Lokalizacja, dojazd i rejestracja na stronie EventBrite. Biletów nie trzeba przynosić - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu.

OWASP Kraków - 20 lutego 2013

Lutowe spotkanie OWASP w Krakowie.

Program:

• OWASP News
• Leszek Miś - "Czy Twój WAF to potrafi? - modsecurity"
• Łukasz Lenart - "How secure your web framework is? Based on Apache Struts 2"
• Piotr Konieczny - "Content Security Policy"

- sponsor spotkania.

Opisy:

Temat: "Czy Twój WAF to potrafi? - modsecurity."

Opis: WAF WAFowi nie równy. W dobie coraz większej liczby uruchamianych aplikacji webowych i coraz częściej przeprowadzanych na nie ataków, posiadanie firewalla aplikacyjnego stało się kluczowe, a w niektórych środowiskach wręcz wymagane. Czy jesteśmy skazani na rozwiązania komercyjne? A może nie znamy w pełni możliwości otwartoźródłowych WAFów? Podczas prezentacji przedstawię funkcjonalności drzemiące w projekcie modsecurity z uwzględnieniem realnych przypadków i własnych doświadczeń. Nie zabraknie również nowinek dotyczących rozwoju projektu jak i omówienia ciekawych sposobów jego wykorzystania jak np. wykrywanie faktycznej lokalizacji/IP atakującego za TOR-em.

O autorze: IT Security Architect w firmie Linux Polska Sp. z o.o. Lider projektu WALLF Web Gateway. Od 10 lat zawodowo związany, a prywatnie zafascynowany oprogramowaniem open source, głównie, ale nie tylko, pod kątem aspektów związanych z (nie)bezpieczeństwem IT. Instruktor/egzaminator technologii Red Hat. Prowadzi szkolenia i egzaminy ze ścieżki RHCA/RHCSS/RHCE.

Rejestracja:

Lokalizacja, dojazd i rejestracja na stronie EventBrite. Biletów nie trzeba przynosić - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu.

Semafor 2013

Konferencja Semafor na stałe wpisała się w polski kalendarz społeczności IT i bezpieczeństwa informacji. Unikalna formuła będąca połączeniem tematyki z obszarów nadzoru IT (IT Governance) i bezpieczeństwa informacji już od pięciu lat przyciąga uwagę kadry kierowniczej przedsiębiorstw, sektora publicznego, administracji oraz organizacji pozarządowych. Konferencja stwarza warunki do bezpośrednich rozmów, dyskusji i wymiany doświadczeń między dyrektorami, menedżerami oraz ekspertami technicznymi.

Semafor 2013 umożliwia spotkanie z autorytetami branżowymi, doświadczonymi prelegentami i znanymi na całym świecie osobistościami zajmującymi się bezpieczeństwem informacji. To także okazja do zapoznania się z najnowszymi wyzwaniami bezpieczeństwa, trendami zagrożeń, standardami i rozwiązaniami technicznymi w obszarze IT i ochrony informacji.

Konferencja Semafor 2013 jest organizowana po raz szósty, pierwsza odbyła się w 2007 roku. Wydarzenie organizują stowarzyszenia ISSA Polska i ISACA Warsaw Chapter oraz magazyn Computerworld. W przygotowaniu spotkania udział bierze stowarzyszenie OWASP Polska i Fundacja Bezpieczna Cyberprzestrzeń. Nad programem konferencji czuwa Rada Programowa, w której zasiadają doświadczeni przedstawiciele ww. organizacji, przedstawiciele kierownictwa IT i komórek bezpieczeństwa w czołowych firmach branży finansowej, technologicznej, telekomunikacyjnej, energetycznej i sektora publicznego.

Wśród prelegentów można spotkać wybitnych przedstawicieli ze świata IT i bezpieczeństwa takich jak Ira Winkler, John Mitchell, Raoul Chiesa czy Eoin Keary.

http://konferencje.computerworld.pl/konferencje/semafor2013/program.html

OWASP Poznań - 31 stycznia 2013

Zapraszamy na pierwsze spotkanie OWASP Poland w Poznaniu. Dostępny jest kompletny zapis video ze spotkania.

• 15.00 Wojciech Dworakowski "Open Web Application Security Project"
• 15.45 Paweł Krawczyk "Zarządzanie bezpieczeństwem aplikacji w dużej firmie"
• 16.30 Krzysztof Kotowicz, SecuRing "HTML 5 – atak i obrona"
• 17.15 TBD

Rejestracja i informacje dojazdu na stronie owasppoznan.eventbrite.com. Biletów nie trzeba drukować - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu itd.

2012

OWASP Kraków - 5 grudnia 2012

Grudniowe spotkanie OWASP Poland odbędzie się w Krakowskim Parku Technologicznym:

• OWASP News
• Robert Pająk, CSO Interia.pl - "Bezpieczeństwo aplikacji - jak to u nas działa?"
• Piotr Bucki, J-Labs - "Frameworki J2EE vs cross-site scripting"

Szczegóły dojazdu i rejestracja na stronie EventBrite. "Biletów" nie trzeba drukować - potrzebne są wyłącznie w celu oszacowania liczby osób dla cateringu itd.

Spotkanie OWASP Kraków - 26 września 2012

Wrześniowe spotkanie OWASP Poland odbędzie się tradycyjnie w Krakowskim Parku Technologicznym (Aleja Jana Pawła II 41L 31-000 Kraków‎). Program spotkania:

• OWASP News
• Piotr Linke (Sourcefire) - wykrywnie i blokowanie włamań do aplikacji webowych
• Paweł Krawczyk - Password best practices (also see Securing Password Storage, Cigital 2012)

Rejestracja: http://www.eventbrite.com/event/4383557338 G+ FB LinkedIn

Spotkanie OWASP Warszawa - 9 października 2012

Miejsce spotkania: Ernst & Young, Rondo ONZ 1, Warszawa, Sala: 14-40 (pietro 14), 18:00-20:00

Prosba o potwierdzenie uczestnictwa do: [email protected] lub na http://www.eventbrite.com/event/3089399477

Agenda:

• 18:00 - 18:15 - Otwarcie spotkania, aktualnosci OWASP Polska
• 18:15 - 19:00 - Bankowosc mobilna - analiza ryzyka na przykladzie telefonow iPhone
  • Czy bankowosc mobilna jest bezpieczna? Jakie sa glowne zagrozenia dla przecietnego uzytkownika? Pokazemy tez, jak sprawdzic, czy aplikacja mobilna jest dobrze napisana. Podczas spotkania omowimy i zweryfikujemy na zywo kluczowe mechanizmy bezpieczenstwa.
  • Prowadzacy: Mariusz Burdach, Prevenity
• 19:00 - 19:45 - Zapewnienie bezpieczenstwa w calym cyklu zycia aplikacji - czyli dlaczego lepiej zapobiegac chorobom, niz leczyc je w zaawansowanym stadium
  • Obecnie powszechne jest testowanie penetracyjne aplikacji przed wdrozeniem w srodowisku produkcyjnym korzystajac z uslug firm zewnetrznych. Pozwala to wykryc istotne z punktu widzenia bezpieczenstwa bledy i zweryfikowac poprawnosc calego procesu tworzenia aplikacji lub wprowadzania w niej zmian. Co bedzie, jesli powazne bledy zostana znalezione na tym etapie? Ile kosztuje ich naprawienie i czy tych kosztow mozna byloby uniknac? W trakcie prezentacji opowiem o praktykach, ktore pozwalaja uzyskac mozliwie najwyzsza jakosc aplikacji w calym cyklu jej zycia - jednoczesnie ograniczajac koszty bledow.
  • Prowadzacy: Jakub Botwicz, Ernst & Young
• 19:45 - 20:00 - Kwestie dodatkowe, zamkniecie spotkania

Spotkanie OWASP Kraków - 22 maja 2012

Wstępna agenda na 22 maja 2012:

• Piotr Bucki, "Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku CSRF" (File:Prezentacja csrf j-labs.pdf)
  • Na wykładzie pokażemy na czym polega atak CSRF. Następnie pokażemy jakie zabezpieczenia (i czy w ogóle) oferują popularne WEBowe frameworki Java.
• Łukasz Tomaszkiewicz, "Hardening IIS" (File:Hardening iis.pdf)
  • Patchowanie systemów (+ Baseline Security Analyzer)
  • Web Application Security Analyzer
  • Usunięcie niepotrzebnych komponentów IIS
  • Bezpieczeństwo adresów (długie URLe i query stringi, UTF w URLach, double-encoded requests)
  • Ukrywanie banerów i stron błędów
  • URLScan
  • Konta Application Pool
  • Bezpieczeństwo systemu plików
  • Limitowanie ilości połączeń (anty-DoS)
  • Wymuszanie mocnego szyfrowania SSL + ustawianie zaufanych certyfikatów dla usług działających w oparciu o IIS
• w trakcie ustalania

Lokalizacja i mapka na stronie Eventbrite. Prosimy o rejestrację (pobranie darmowych "biletów") żebyśmy wiedzieli ile osób się mniej więcej spodziewać. Spotkanie koordynuje Paweł Krawczyk (+48-602-776959).

Streaming

Dla tych, którzy nie będą mogli uczestniczyć osobiście, postaramy się udostępnić streaming za pomocą GoToMeeting (Meeting ID: 464-904-886). https://www3.gotomeeting.com/join/464904886

Uwaga: Wymagana instalacja oprogramowania GoToMeeting. Ilość uczestników on-line jest ograniczona (25 połączeń). Start - godzina 18:00.

CONFidence 2012

PL

CONFidence nabiera rozpędu, więc przygotujcie się na dwa dni ekstremalnie zapełnione wykładami i atrakcjami! Tego jeszcze nie było! Prezentacje podzielone na cztery grupy tematyczne (2 ścieżki na dzień), ponad 30 prelegentów, nowinki z branży, warsztaty oraz gra szpiegowska X-traction Point, która zaskoczy wszystkich!

Wtępnie agenda zawiera wydzielone cztery ścieżki tematyczne:

- WebSec, bezpieczeństwo aplikacji webowych,

- Cross- Layer, protokoły komunikacyjne, Serwery, Aplikacje,

- AppSec, bezpieczeństwo i dziury w aplikacjach,

- Pwnage, omijanie zabezpieczeń.

Prelegenci, którzy wystąpią na konferencji to m.in. : John “Captain Crunch” Draper, Gregor Kopf, Ashar Javed, Alexey Sintsov, Luiz Eduardo, Luiz Eduardo, Zane Lackey, Raoul Chiesa i wielu innych.

Szczegóły dotyczące agendy znajdują się na stronie: [1]

Jak zawsze na konferencji pojawią się panele dyskusyjne prowadzone przez światowej klasy specjalistów, m.in. panel „Bezpieczna aplikacja webowa - czy to możliwe?” prowadzony przez Mario Heiderich oraz Garetha Hayes.

Uruchomiliśmy również warsztaty, które odbywać się będą przed, jak i po konferencji. Dla zainteresowanych, jako pierwsze w kolejności proponujemy warsztaty organizowane przez Compendium. Zakończ CONFidence 2012 z oficjalnym certyfikatem ISECOM w pakiecie z egzaminem wieńczącym szkolenia.

Ciekawym dodatkiem do głównych prezentacji będą również prezentacje w ramach Lightning Talks. Krótkie 5-minutowe wystąpienia uczestników konferencji podczas przerw między wykładami docelowymi. Tematy zahaczają zarówno ciekawe projekty, wyniki badań, intrygujące hobby czy dowolne wątki, które Waszym zdaniem mogą zainteresować publiczność. Każdy uczestnik ma możliwość zgłoszenia swojego tematu w ramach wolnych miejsc.

Elementem całkowicie innowacyjnym i kreatywnym będzie zabawa pod nazwą X-traction Point, które debiutuje na tegorocznym CONFidence. Uczestnicy będą mogli sprawdzić swoje umiejętności z zakresu lockpickingu, wiedzy o alarmach, detektorach ruchu i dźwięku oraz podstawowej wiedzy hackowania. A to wszystko podczas zadania infiltracji bunkra i uratowania zakładnika! Wszystko na żywo i z poglądem z kamer. Zapowiada się niezapomniany turniej!

To i wiele wiele innych atrakcji już 23- 24 maja w Krakowie! CONFidence 2012 - bądź przygotowany na prawdziwe wyzwania!

Kod rabatowy dla osób rejestrujących się via OWASP: 2012-owasp 15% zniżki na opłatę konferencyjną.

ENG

CONFidence gaining momentum, so get ready for two days filled with lectures and extreme attractions! The presentations will be divided into four theme groups (2 each day) with more than 30 speakers, unpublished materials, workshops and a special X-traction point game, which is something you haven't seen before!

Schedule template contains four separate thematic tracks: -WebSec – Web application Security

-Cross-Layer – Communication protocols, Servers, Applications, Misc

-AppSec – Security and Application Flaws

-Pwnage – Bypassing the security systems, hacking technologies

Some of the speakers at the conference include John "Captain Crunch" Draper, Gregor Kopf, Ashar Javed, Alexey Sintsov, Eduardo Luiz, Luiz Eduardo, Zane Lackey, Raoul Chiesa and many more.

Details of the schedule can be found at: [2]

As always at the conference there will be discussion panels led by world-class experts, including, "Secure Web application - is it possible?" panel led by Mario Heiderich and Gareth Hayes.

There will also be additional workshops before and/or after the conference, inlucing a special workshop prepared by Compendium, where you can prepare for and obtaining an ISECOM certificate.

Apart from the normal presentations, there will be special Ligtning Talks track spread over two days. Attendees will be able to perform short, 5 minutes long presentations, covering all range of topics ranging from their projects, research results to even some specific hobbies. Every conference attendee has a possibility to submit a topic for as long as there are free slots for the talks.

For the very first time, we will deploy an X-traction Point contest, where attendees will be given a possibility to test their skills in lockpicking, knowledge about alarm systems, motion and sound detectors along with basic hacking skills. They will have to use their knowledge in a live bunker infiltration, get behind the security systems, pass the guards and save a prisoner. All that live streamed for the audience. This will be spectacular!

Prepare for all that during the CONFidence 2012, which will be held in Krakow on 23-24th of May.

15% discount, when registering via OWASP, use this code during registration: 2012-owasp

Więcej na stronie konferencji.

Meeting(s): Sponsor of OWASP Krakow meetings:

KrakYourNet

W ramach tegorocznej edycji KrakYourNet (14 - 21.04) an AGH w Krakowie Wojciech Dworakowski zaprezentował dokumenty i narzędzia rozwijane w ramach działalności OWASP. Prezentację można pobrać tutaj.

Więcej informacji na temat wykładu tutaj.

21. March 2012

Zapraszamy wszystkich zainteresowanych na spotkanie OWASP Poland Local Chapter, poświęcone tematyce bezpieczeństwa aplikacji webowych.

Czas

21 marca 2012, 18.00 - 20.00

Miejsce

Krakowski Park Techniologiczny (Al. Jana Pawła II 41 L), sala konferencyjna na III piętrze.

Lokalizacja na mapie. Dojazd liniami: 4, 10, 15,40 - przystanek "AWF".

Wstęp wolny. Prosimy o potwierdzenie uczestnictwa.

Streaming

Tak jak poprzednim razem będzie możliwość zdalnego uczestnictwa za pomocą GoToMeeting (Meeting ID: 759-783-526): link

Uwaga: Wymagana instalacja oprogramowania GoToMeeting. Ilość uczestników on-line jest ograniczona (25 połączeń).

Agenda

Analiza statyczna języka PHP

Mateusz Kocielski, LogicalTrust
18.00 - 19.15

Abstrakt:

Analiza statyczna jest jedną z metod wyszukiwania błędów oraz poprawiania jakości oprogramowania.
Zaczynając od historii i podstaw teoretycznych, a kończąc na praktycznych aspektach i zero dayach,
dowiemy się jak wykorzystać wszystkie jej dobrodziejstwa na przykładzie języka php.
Wykład przeznaczony jest dla wszystkich, którzy mają jakikolwiek związek z wytwarzania oprogramowania.

• 19.15 - 19.30 Przerwa / networking

Web Application Firewall 101

Przemysław Skowron
19.30 - 20.00

Abstrakt:

Web Application Firewall to kolejna (czasem jedyna!) warstwa
bezpieczeństwa w środowisku pracy aplikacji webowych. Pozwala na
monitoring i ochronę aplikacji. Może służyć jako "Strażak" w czasie
pożaru i często stosowany jest tylko do tego. W "kwadrans" postaram
się przybliżyć: czym jest WAF, w jakich architekturach możemy go
wdrożyć, jakie mamy WAFy na rynku, jak wybrać ten najlepszy dla nas, w
jakich trybach działa, w oparciu o co może reagować, jak się ma WAF do
OWASP Top10 i czym jest OWASP CRS.

Meeting Supporter

Sponsorem spotkania jest firma .

SEMAFOR 2012

We have the pleasure to inform You that on February 23-24, 2012, the SEMAFOR (Security, Management, Audit Forum) conference will take place in Warsaw. The conference is held by ISSA Poland, ISACA Warsaw Chapter and the Computerworld with active support of OWASP Poland. OWASP members have 10% of discount for this event.

For more information about SEMAFOR 2012, please visit: https://issa.org.pl/semafor-2012.html

18. January 2012

We're meeting in Krakow on 18. January 2012 in Krakow Technology Park (Czyżyny) (Al. Jana Pawła II 41 L) at 6pm, conference hall on 3rd floor. This meeting is organized jointly by ISSA Poland. Please confirm Your attendance here.

Agenda:

• OWASP news.
• No Man's Land - Vulnerabilities in J2EE frameworks and libraries - Sławomir Jasek, SecuRing.
• Defending ASP.Net apps against XSS. - Mateusz Olejarka, VSoft S.A.
• Bad coding with Ruby on Rails - Paweł Krawczyk, AON.

Streszczenia:

Ziemia niczyja - czyli podatności we frameworkach i bibliotekach J2EE.

Sławomir Jasek (SecuRing)

Podatności obecne w aplikacjach mogą wynikać z błędów popełnionych przez programistów, ale także ze słabości istniejących w zastosowanych frameworkach i bibliotekach.

Z mojego doświadczenia wynika, że ten drugi aspekt jest często pomijany przy projektowaniu bezpieczeństwa aplikacji a także w trakcie utrzymania aplikacji (uaktualniane jest oprogramowanie serwerowe ale nie biblioteki wchodzące w skład aplikacji).

Prezentacja ma na celu naświetlenie tego problemu przez pokazanie przykładów ciekawych, a jednocześnie łatwych do przeoczenia podatności, występujących w popularnych bibliotekach/frameworkach J2EE takich jak Struts, Spring MVC.

Obrona aplikacji webowej ASP.Net: XSS

Mateusz Olejarka (VSoft)

Prezentacja ma celu zarysować dość szeroką tematykę zwiazaną z XSS'em. Na początku pojawi się kilka pojęć i faktów dotyczących XSS, w głównej części omówimy

sobie możliwości jakie mamy, aby zabezpieczyć naszą aplikację, m.in: mechanizm Request Validation, HttpUtility, AntiXSS.

Popularne błędy w aplikacjach Ruby on Rails

Paweł Krawczyk (IPSec.pl)

Ruby on Rails uchodzi za framework ułatwiający pisanie bezpiecznych aplikacji - i takim jest w istocie.

Nie znaczy to jednak, że samo RoR w magiczny sposób naprawi dziury wynikające z braku dbałości o bezpieczeństwo.

W prezentacji pokażę typowe błędy popełniane przez programistów RoR oraz narzędzia, które umożliwiają wyłapanie większości z nich w półautomatyczny sposób.

2011

15. December 2011

Zaproszenie na kolejne spotkanie OWASP w Warszawie / Invitation for the next OWASP meeting in Warsaw

Tym razem prezentacje beda w języku angielskim / This time the presentations will be in English

Data i miejsce spotkania / Date and place of the meeting:

15 grudzien 2011 / 15 December 2011 Ernst & Young Rondo ONZ 1, Warszawa Sala: 14-40 (piętro 14) 18:00-20:00

Prosba o potwierdzenie uczestnictwa do: [email protected] / Please confirm your attendance to: [email protected]

Agenda:

• 18:00 - 18:15 - Otwarcie spotkania, aktualnosci OWASP Polska / Meeting Opening, OWASP Poland News
• 18:15 - 19:00 - "The agile approach to PCI DSS implementation in SDLC area" - Jakub Syta, IMMUSEC
• 19:00 - 19:45 - "Ground BeEF: Cutting, devouring and digesting the legs off a browser" - Michele Orru' a.k.a. antisnatchor, Royal Bank of Scotland
• 19:45 - 20:00 - Kwestie dodatkowe, zamkniecie spotkania / Additional Topics, Meeting Closure

Więcej informacji o prelegentach / More information about the presenters:

Jakub Syta, IMMUSEC

Ekspert w zarzadzaniu bezpieczenstwem informacji i ciagloscia dzialania, zdobyl doswiadczenie w szeregu zagadnien z zakresu ochrony fizycznej oraz przeciwdzialania naduzyciom. Ostatnie lata spedzil kierujac dzialem bezpieczenstwa w jednym z najwiekszych swiatowych bankow bedac odpowiedzialnym za dostarczanie uslug bezpieczenstwa dla kilku krajow. Od 2010 jest wspolnikiem w spolce doradczej IMMUSEC. Prelegent na krajowych i miedzynarodowych konferencjach, doswiadczony wykladowca. Ekspert w Podkomitecie ds. ISMS przy KT 182 w Polskim Komitecie Normalizacyjnym, byly czlonek zarzadu ISACA Polska, doktorant na Wydziale Zarzadzania Politechniki Warszawskiej. Jest audytorem wiodacym ISO 27001 i ISO 9001, legitymuje sie certyfikatami takimi jak CISA, CISSP, CRICS, ITIL Foundation.

Michele Orru', Royal Bank of Scotland
Michele Orru' a.k.a. antisnatchor is an IT and ITalian security guy who works as a Penetration Tester for The Royal Bank of Scotland Group in Warsaw, Poland. He mainly focus his research on web application security. Besides his nasty passion about black, gray, white hat hacking and BeEF (being an active committer since the Ruby port started), he enjoys to leave alone his Mac while fishing on salted water and preys for Kubrick resurrection.

23. November 2011 - Cracow

We're meeting in Krakow on 23. November 2011 in Krakow Technology Park (Czyżyny) (Al. Jana Pawła II 41 L) at 6pm, conference hall on 3rd floor. This meeting is organized jointly by ISSA Poland.

Agenda:

• OWASP News
• Selected vulnerabilities in web management consoles of network devices - Michał Sajdak, Securitum
• Groundbreaking OWASP tools for developers. Brief introduction to OWASP ESAPI and AppSensor- Wojciech Dworakowski, SecuRing
• CouchDB security - Paweł Krawczyk

Meeting supporter for this event is , which will provide delicious cupcakes and coffee :).

3 rd SASMA & LIQUIDNEXXUS Business Security Conference

On 17. November 2011- Warsaw during 3 rd SASMA & LIQUIDNEXXUS Business Security Conference Mateusz Olejarka will be speaking about Application Security Threats and OWASP TOP 10.

More details here.

OWASP & ISACA Katowice Chapter-in-formation

On 20. October in Cracow University of Economics during ISACA Katowice Chapter-in-formation meeting Wojciech Dworakowski will be speaking about OWASP and Web Application Security.
More information: http://isaca.katowice.pl/spotkania.html

OWASP Poland Partnership during Secure 2011

Secure 2011 is international conference on telecommunications and IT security organized by CERT Poland on 24-26 October 2011 in Warsaw.

More information: http://secure.edu.pl/

27. September 2011 - Warsaw

We're meeting in Warsaw on 27. September 2011 in Ernst & Young (Rondo ONZ 1, Warszawa, room 14-40, floor 14). Please confirm your attendance by sending email to [email protected] as amount of places is limited. Agenda:

• 18:00 - 18:15 - Otwarcie spotkania, aktualności OWASP Polska

• 18:15 - 19:00 - "Bezpieczeństwo aplikacji mobilnych" - Aleksander Ludynia, Ernst & Young

  Aleksander jest Konsultantem w Dziale Zarządzania Ryzykiem Informatycznym w Ernst & Young odpowiedzialnym za realizację projektów związanych z bezpieczeństwem systemów informatycznych. Specjalizuje się w testach penetracyjnych aplikacji internetowych oraz przeglądach bezpieczeństwa.
  Abstrakt: Skala i charakter wykorzystania aplikacji mobilnych zmieniają się w bardzo dynamicznym tempie. Równolegle rozwija się działalność przestępców komputerowych, prowadzących różnego rodzaju ataki, których celem są urządzenia przenośne. Podczas prezentacji zostanie omówiona sytuacja na rynku aplikacji mobilnych, a także zagrożenia związane z ich wykorzystaniem. Ponadto, omówione zostaną podstawowe techniki wykorzystywane podczas testów penetracyjnych tego typu aplikacji. Prezentacja będzie wstępem do szerszej dyskusji dotyczącej zagadnieńzwiązanych z bezpieczeństwem aplikacji mobilnych.

• 19:00 - 19:45 - "Zarządzanie sesją w aplikacjach internetowych" - Sławomir Rozbicki, PKO BP

  Sławek jest specjalistą w zespole Bezpieczeństwa Internetowego i Telekomunikacyjnego Banku PKO BP. Do jego obowiązków należy głównie wykonywanie testów penetracyjnych aplikacji internetowych, infrastruktury teleinformatycznej oraz bieżący monitoring incydentów bezpieczeństwa.
  Abstrakt: Mechanizmy zarządzania sesją aplikacji internetowych mają znaczący wpływ na ich bezpieczeństwo. Pomimo to niedocenianie ryzyka związanego z ich nieprawidłową implementacją wydaje się być częstą praktyką. Zawarte w prezentacji materiały mają za zadanie zwrócić uwagę na podstawowe wektory ataku oraz ułatwić ocenę podatności poszczególnych elementów sesji na ataki. Przedstawione przykłady pokazują jak nawet najsilniejsze mechanizmy uwierzytelnienia mogą zostać ominięte, w przypadku wykorzystania słabości związanych z nieprawidłową obsługą sesji.

• 19:45 - 20:00 - Kwestie dodatkowe, zamknięcie spotkania

• Download :
  • OWASP News
  • Aleksander Ludynia - Bezpieczenstwo aplikacji mobilnych
  • Slawomir Rozbicki - Session Management

14. September 2011 - Krakow

We're meeting in Krakow on 14. September 2011 in Krakow Technology Park (Czyżyny) (Al. Jana Pawła II 41 L) at 6pm, conference hall on 3rd floor. Note date change to 14. September (previously announced date was 13. September).

Google Maps link.

Agenda:

• OWASP news
• Uczący się firewall webowy - nowy polski projekt (Marek Zachara, AGH). Streszczenie:

Inteligentne systemy, analizujące i dopasowujące się do wzorców zachowań użytkowników zdobywają kolejne pola zastosowań. W trakcie wykładu zostanie zaprezentowane wykorzystanie takich metod do tworzenia samo-uczącego się firewalla aplikacyjnego (ang. Learning Web Application Firewall). LWAF potrafi (na podstawie analizy ruchu) stworzyć oczekiwane wzorce przychodzących danych - a co za tym idzie, zidentyfikować nietypowe zachowania użytkowników - i ochronić w ten sposób aplikację przed próbami ataku. Wyniki działania takiego firewall-a, a także podstawowa analiza teoretyczna zostanie zaprezentowana na bazie przygotowanej przez autorów implementacji tej techniki w formie modułu do serwera Apache.

Download paper: Learning Web Application Firewall - Benefits and Caveats, slides: File:LWAF.pptx

Intelligent systems that process and analyze patterns in human behavior have been gaining traction in various fields of use. During the lecture, we will present a Learning Application Firewall (LWAF) which utilizes such methods to analyze the traffic patterns, constructs expected data patterns and can protect the application from harmful attack attempts. Resluts from experiments, as well as theoretical background will be presented based on the reference implementation of the LWAF as Apache module, prepared by the authors

• HTML5 - Something wicked this way comes (Krzysztof Kotowicz, SecuRing) Streszczenie:

HTML5 to ulubieniec współczesnych przeglądarek i webdeveloperów, ale może zostać również wykorzystany w złych celach. Przedstawimy najnowsze metody ataków na aplikacje internetowe z wykorzystaniem HTML5 oraz różnych technik UI redressing, a także sposoby ukrycia ataku w mechanizmach gry online. Zobaczycie demonstracje rzeczywistych ataków na popularne serwisy internetowe z wykorzystaniem opisanych metod.

Download: File:Html5-something wicked this way comes owasp.pdf

HTML5 is a favorite of modern browsers and web developers. Likewise, it can used for evil purposes. We will cover new attacks on web applications, which use HTML5 and UI redressing techniques and ways to cover it up in an online game logic. We shall see the demos of real attacks on popular web sites which includes described methods.

Generally - all lectures are in Polish. If you would like to attend and do not know Polish, please contact meeting coordinator.

This meeting is organized jointly by ISSA Poland. Questions or issues? Contact meeting coordinator Wojtek Dworakowski +48-506-184550.

If you would like to make a presentation, or have any questions about the Poland Chapter, send an email to Chapter Leader or any Chapter Board member.

30. June 2011 - Warsaw, ISSA InfoTRAMS

All OWASP Poland, ISSA Poland and CISSP holders are entitled to free entry to InfoTRAMS conference that will be held at TPSA conference venue Twarda street 18 in Warsaw.

23. May 2011 - Krakow

23. May 2011 in Krakow Technology Park (Czyżyny) at 6pm, conference hall on 3rd floor.

Two research topics were presented (both in Polish):

• OWASP news, KPT introduction
• Minerva - automatic vulnerability scanning (Mateusz Kocielski)
• Why care about application security? (Paweł Krawczyk)

OWASP Partnership during CONFidence 2011

CONFidence is an annual IT security conference that will take place on 24-25th May, 2011 in Krakow, Poland for the 9th time!

More information: http://2011.confidence.org.pl/

OWASP Partnership during Banking Forum 11-12th May 2011

Banking Forum is a major event organized for managers of polish financial institutions.

OWASP Poland Chapter was Partnership of this event and our representatives took part in panel discussions about security of financial applications and security in software development lifecycle.

On 24th March 2011 - Krakow

6:15pm - 6:30pm ... "OWASP News" - Przemyslaw Skowron, OWASP Leader
6:30pm - 7:00pm ... "Source Code Scanners" - Pawel Krawczyk http://www.slideshare.net/kravietz/source-code-scanners
7:00pm - 8:00pm ... "Penetration testing - panel discussion"

On 27th January 2011 - Warsaw

6:00pm - 6:40pm ... "OWASP News" - Przemyslaw Skowron, OWASP Leader
6:45pm - 7:20pm ... "Cross-Site Scripting" - Michal Kurek, Ernst&Young
7:25pm - 8:00pm ... "Phishing" - Tomasz Sawiak, Safe Computing

On 20th January 2011 - Krakow

6:15pm - 6:25pm ... "OWASP News" - Przemysław Skowron, OWASP Leader
6:30pm - 7:10pm ... "Advanced Data mining" - Jakub Kaluzny
7:15pm - 8:00pm ... "OWASP ASVS - panel discussion" - Wojciech Dworakowski, Securing

2010

OWASP Partnership during seminar InfoTRAMS - Privacy at work

9th of December 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.

More information: http://issa.org.pl/2010-12-09/prywatno%C5%9B%C4%87-w-pracy-infotrams-warszawa.html

OWASP Poland Partnership during Secure 2010

25-27th of October 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.

More information: http://secure.edu.pl/

OWASP Partnership during seminar InfoTRAMS - Cloud computing

30th of June 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.

More information: http://www.issa.org.pl/content/view/129/1/

On 10th June 2010

6:00pm - 6:15pm ... "OWASP News" - Przemyslaw Skowron /PL/ - Slides
6:15pm - 7:10pm ... "Creating, obfuscating and analysis of JavaScript-based malware." - Krzysztof Kotowicz /PL/ - Slides | Video
7:15pm - 8:00pm ... "Network Forensic: what captured packets say" - Paweł Goleń /PL/ - Slides | Video

OWASP Partnership during KrakSpot Tech #1

8th of June 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership.

More information: http://krakspot.pl/2010/05/29/krakspot-tech-agenda/

OWASP Partnership during CONFidence 2010

25-26th of May 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership.

More information: http://2010.confidence.org.pl/

On 13th May 2010

6:05pm - 7:00pm ... "Drive-by download attacks" - Filip Palian /PL/ - Slides | Video
7:05pm - 7:50pm ... "Detection and analysis of malicious web sites" - Łukasz Juszczyk /PL/ - Slides | Extra#1 | Extra#2 | Video

OWASP Partnership during SEConference 2010

9-10th of April 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership.

During meetings there will be a few talks dedicated the OWASP Projects.
More information: http://www.2k10.seconference.pl/docs/

On 17th March 2010

6.10pm - 6.50pm ... "Workshop: CISSP - Telecommunications and Network Security" - Julia Juraszek, ISSA Polska, Polkomtel S.A.
7.00pm - 7.40pm ... "OWASP - Incident handling: Web Application Attacks" - Przemyslaw Skowron, OWASP Poland /PL/ - Slides

On 10th March 2010

5:00pm - 5:05pm ... "OWASP News" - Przemyslaw Skowron /PL/ - Slides
5:05pm - 6:10pm ... "SQL Injection: complete walktrough (not only) for PHP developers" - Krzysztof Kotowicz /PL/ - Slides | Video
6:15pm - 7:20pm ... "Secure PHP framework" - Łukasz Pilorz /PL/ - Slides | Video

OWASP Poland Partnership during SEMAFOR 2010

26-27th of January 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.

During meetings there will be a few talks dedicated the OWASP Projects.
More information: http://konferencje.computerworld.pl/konferencje/semafor2010/zagadnienia.html

On 14th January 2010

6:20pm - 6:30pm ... "OWASP News" - Przemyslaw Skowron
6:30pm - 7:15pm ... "Fuzzing" - Piotr Laskawiec /PL/ - Slides, /EN/ - Slides
7:15pm - 8:00pm ... "Security in Software Development Life Cycle" - Wojtek Dworakowski /PL/ - Slides

2009

On 10th December 2009

6:30pm - 6:45pm ... "OWASP News" - Andrzej Targosz, Przemyslaw Skowron
6:50pm - 7:25pm ... "OWASP Top 10 2010" - Przemyslaw Skowron /PL/ - OWASP_Top10_2010-RC1-PL by Michał Wiczyński
7:30pm - 8:10pm ... "Real Life Information Security" - Pawel Krawczyk /EN/ - Slides

On 12th February 2009

6:00pm - 6:30pm ... "OWASP News" - Andrzej Targosz
6:30pm - 7:30pm ... "Blind SQL Injections" - Jacek Wlodarczyk /PL/ - Slides
7:30pm - 9:30pm ... OWASP UNConference

2008

On 11th December 2008

6:00pm - 7:00pm ... "Hack tool Firefox" - Filip Palian
7:00pm - 8:15pm ... "OWASP where we were, where we are now, and where we are going..." - Andrzej Targosz

On 23th October 2008

6:15pm - 7:10pm ... "Wargame @ Confidence/OWASP EU 2008 vs. OWASP Testing Guide" - Przemysław Skowron /PL/ - Slides , MindMap
7:15pm - 8:10pm ... "Intrusion detection for web applications" - Łukasz Pilorz /EN/ - Slides
8:15pm - 9:10pm ... "Session management for Web Application" - Paweł Goleń /PL/ - Slides

On 25th April 2008

5:15pm - 5:30pm ... "OWASP News" - Andrzej Targosz
5:30pm - 5:45pm ... "Short introduction to WarGame - CONFidence & OWASP EU" - Przemyslaw 'rezos' Skowron
5:45pm - 6:45pm ... "Introduction to Web Applications Security" - Filip Palian

OWASP Partnership during QAFA and TMS

7-8th of April 2008 there will be two interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership:
- TMS - "Test Management Summit"
- QAFA - "Quality for Financial Applications"
During meetings there will be special talk about OWASP Testing metodology.
http://www.bettersoftware.eu/archive/QAFA-TMS/

2007

On 06th September 2007

6:00pm - 7:00pm ... "OWASP" - Robert 'shadow' Pajak
7:00pm - 8:00pm ... "OWASP SPoC" - Przemyslaw 'rezos' Skowron
8:00pm - 9:00pm ... "Penetration tests OWASP in practice" - Jarek Sajko

Presentation

• Presentation: OWASP Intro By Robert 'Shadow' Pajak - Slides
• Presentation: OWASP SPoC By Przemyslaw 'rezos' Skowron - Slides
• Presentation: Penetration tests OWASP in practice By Jarek Sajko - Slides

On 19th April 2007

5:30pm - 6:30pm ... "Application security testing - attack trends" - Przemyslaw Skowron
6:30pm - 7:30pm ... Auditor work standards
7:30pm - 7:45pm ... OWASP Inauguration

You could join free, registration not required. Please invite all friends interested in security.