IBWAS10

= 2nd. OWASP Ibero-American Web Application Security Conference (IBWAS'10) =

held at ISCTE - Lisbon University Institute |

IBWAS'09 (last year editon) - Internal OWASP site

16 - 17 December 2010 (NEW DATES - PREVIOUS DATES CANCELLED DUE TO A GENERAL STRIKE IN PORTUGAL)

(a joint organization of the Portuguese and Spanish OWASP chapters)

Call for Papers (CLOSED)
THE IBWAS'10 CALL FOR PAPERS IS NOW CLOSED!!!

Call for Papers (english version)


You can find here a PDF version of the Call for Papers. Also in Portuguese (Português)

Introduction
There is a change in the information systems development paradigm. The emergence of Web 2.0 technologies led to the extensive deployment and use of web-based applications and web services as a way to developed new and flexible information systems. Such systems are easy to develop, deploy and maintain and demonstrate impressive features for users, resulting in their current wide use.

As a result of this paradigm shift, the security requirements have also changed. These web-based information systems have different security requirements, when compared to traditional systems. Important security issues have been found and privacy concerns have also been raised recently. In addition, the emerging Cloud Computing paradigm promises even greater flexibility; however corresponding security and privacy issues still need to be examined. The security environment should involve not only the surrounding environment but also the application core.

This conference aims to bring together application security experts, researchers, educators and practitioners from the industry, academia and international communities such as OWASP, in order to discuss open problems and new solutions in application security. In the context of this track academic researchers will be able to combine interesting results with the experience of practitioners and software engineers.

Conference Topics
Suggested topics for papers submission include (but are not limited to):
 * Secure application development
 * Security of service oriented architectures
 * Security of development frameworks
 * Threat modelling of web applications
 * Cloud computing security
 * Web applications vulnerabilities and analysis (code review, pen-test, static analysis etc.)
 * Metrics for application security
 * Countermeasures for web application vulnerabilities
 * Secure coding techniques
 * Platform or language security features that help secure web applications
 * Secure database usage in web applications
 * Access control in web applications
 * Web services security
 * Browser security
 * Privacy in web applications
 * Standards, certifications and security evaluation criteria for web applications
 * Application security awareness and education
 * Security for the mobile web
 * Attacks and Vulnerability Exploitation

Paper Submission Instructions
Authors should submit an original paper in English, carefully checked for correct grammar and spelling, using the on-line submission procedure (submission site). Please check the paper formats so you may be aware of the accepted paper page limits (12 pages, in accordance to a supplied template, that can be downloaded from here: in Word Format and in LateX format).

The guidelines for paper formatting provided at the conference web site must be strictly used for all submitted papers. The submission format is the same as the camera-ready format. Please check and carefully follow the instructions and templates provided.

Each paper should clearly indicate the nature of its technical/scientific contribution, and the problems, domains or environments to which it is applicable.

Papers that are out of the conference scope or contain any form of plagiarism will be rejected without reviews.

Remarks about the on-line submission procedure:

1.	A "double-blind" paper evaluation method will be used. To facilitate that, the authors are kindly requested to produce and provide the paper, WITHOUT any reference to any of the authors. This means that is necessary to remove the author’s personal details, the acknowledgements section and any reference that may disclose the authors identity

2.	Papers in ODF, PDF, DOC, DOCX or RTF format are accepted

3.	The web submission procedure automatically sends an acknowledgement, by e-mail, to the contact author.

= Paper submission types=

Regular Paper Submission

A regular paper presents a work where the research is completed or almost finished. It does not necessary means that the acceptance is as a full paper. It may be accepted as a "full paper" (30 min. oral presentation), a "short paper" (15 min. oral presentation) or a "poster".

Position Paper Submission

A position paper presents an arguable opinion about an issue. The goal of a position paper is to convince the audience that your opinion is valid and worth listening to, without the need to present completed research work and/or validated results. It is, nevertheless, important to support your argument with evidence to ensure the validity of your claims. A position paper may be a short report and discussion of ideas, facts, situations, methods, procedures or results of scientific research (bibliographic, experimental, theoretical, or other) focused on one of the conference topic areas. The acceptance of a position paper is restricted to the categories of "short paper" or "poster", i.e. a position paper is not a candidate to acceptance as "full paper".

= Camera-ready =

After the reviewing process is completed, the contact author (the author who submits the paper) of each paper will be notified of the result, by e-mail. The authors are required to follow the reviews in order to improve their paper before the camera-ready submission.

= Publications =

All accepted papers will be published in the conference proceedings, under an ISBN reference. Conference proceedings will be published by OWASP in electronic format (Springer proceedings have been canceled due to a low number of paper submissions).

Web-site
http://www.ibwas.com

Secretariat
E-mail: secretariat@ibwas.com

Important Dates
Submission of papers and all other contributions due: 31st October 2010

Notification of acceptance: 28th November 2010 (delayed)

Camera-ready version of accepted contributions: 5th December 2010

Conference: 16th – 17th December 2010

Introdução
Existe uma mudança profunda no paradigma de desenvolvimento de sistemas de informação nos nossos dias. A emergência de tecnologias Web 2.0 levaram a um desenvolvimento e implantação massiva de aplicações e serviços Web, como a forma de desenvolvimento de sistemas de informação flexíveis. Tais sistemas são simples de desenvolver, instalar e manter e demonstram um conjunto de funcionalidades atractivas para os utilizadores, o que as tornam tão apetecíveis.

Como resultado desta mudança paradigmática, os requisitos de segurança também se alteraram. Estes sistemas de informação baseados na Web possuem diferentes requisitos de segurança, quando comparados com sistemas tradicionais. Neste tipo de sistemas é possível encontrar aspectos importantes de segurança e de privacidade que podem afectar a forma como os mesmos operam e comprometer os seus utilizadores. Acresce o facto de que a emergência da Computação na Nuvem, que promete ainda mais flexibilidade, tem ainda um impacto mais forte nestes requisitos de segurança e de privacidade. O ambiente de segurança deve envolver não apenas o ambiente circundante mas igualmente o núcleo aplicacional.

Esta conferência pretende juntar peritos em segurança aplicacional, investigadores, educadores e profissionais da indústria, academia e comunidades internacionais como a OWASP, por forma a discutirem de forma aberta os problemas e as soluções de segurança aplicacional. Neste contexto, investigadores provenientes da academia e da indústria poderão combinar os resultados da sua investigação com a experiência de profissionais e de engenheiros de software.

Temas da Conferência
Os temas sugeridos para submissão de trabalhos incluem os seguintes (mas não se limitam apenas aos listados):
 * Desenvolvimento Seguro de Aplicações
 * Segurança de Arquitecturas Orientadas por Serviços
 * Segurança das Estruturas e Ferramentas de Desenvolvimento
 * Modelação de Ameaças a Aplicações Web
 * Segurança em Cloud Computing
 * Vulnerabilidades e Análise de Aplicações Web (revisão de código, testes de penetração, análise estática, etc)
 * Métricas para Segurança Aplicacional
 * Contra-medidas para Vulnerabilidades em Aplicações Web
 * Técnicas de Desenvolvimento e Codificação em Segurança
 * Funcionalidades da Plataforma ou Linguagem de Desenvolvimento para a Segurança de Aplicações Web
 * Utilização Segura de Bases de Dados em Aplicações Web
 * Controlo de Acesso em Aplicações Web
 * Segurança em Serviços Web
 * Segurança do Browser Web
 * Privacidade em Aplicações Web
 * Normas, Certificações e Critérios para Avaliação da Segurança em Aplicações Web
 * Sensibilização e Educação para a Segurança Aplicacional
 * Segurança para a Web Móvel
 * Ataques e Exploração de Vulnerabilidades

Instruções para a submissão de trabalhos
Os autores deve submeter um trabalho original escrito em Inglês, devidamente verificado para evitar incorrecções gramaticais ou sintácticas, usando o procedimento de submissão on-line (http://www.easychair.org/conferences/?conf=ibwas10). Por favor, verifique os formatos aceites para os trabalhos e tenha atenção a dimensão máxima dos mesmos (limite de 12 páginas, de acordo com o modelo fornecido e que pode ser obtido a partir da seguinte URL: ftp://ftp.springer.de/pub/tex/latex/llncs/word/LNCS-Office2007.zip).

As indicações para a formatação dos trabalhos fornecidos no site da conferência e no template devem ser estritamente seguidas pelos autores que desejem submeter trabalhos. O formato de submissão é o mesmo do formato final. Por favor, siga as instruções de formatação usadas no template.

Cada trabalho deve indicar com clareza a natureza da sua contribuição técnica/científica e os problemas, domínios ou ambientes para o qual é aplicável.

Todos os artigos que estejam fora do âmbito da conferência ou que sob os quais sejam detectados actos de plágio, serão liminarmente rejeitados.

Alguns detalhes sobre o procedimento de submissão:

1. Será utilizado um procedimento de revisão anónimo, que será repetido por pelo menos dois revisores autónomos. Para facilitar este processo, que se pretende seja rápido, eficiente e justo, é solicitado aos autores que produzam os seu trabalho e que o submetam, SEM qualquer referência a algum dos autores do mesmo. Isto significa que é necessário remover os detalhes pessoais do autor, a secção de agradecimentos e qualquer outra referência que possa revelar a identidade dos autores;

2. Serão aceites os seguintes formatos de ficheiros na submissão: ODF, PDF, DOC, DOCX e RTF;

3. O processo de submissão on-line envia automaticamente uma notificação, através do correio electrónico, do resultado da submissão ao autor correspondente.

= Tipos de submissão de trabalhos =

Submissão de trabalhos regulares

Um trabalho regular apresenta o trabalho em que a pesquisa está terminada ou muito próximo de estar completa. Não significa que o trabalho seja aceite na categoria de “trabalho completo”. Pode ser aceite como “trabalho completo” (apresentação oral de 30 minutos), “trabalho curto” (apresentação oral de 15 minutos) ou “poster”.

Submissão de trabalhos de posição

Um trabalho de posição apresenta uma opinião para discussão num determinado assunto. O objectivo de um trabalho deste tipo é o de convencer a audiência de que a sua opinião é válida e vale a pena ser escutada, sem ser necessário apresentar trabalho completo de pesquisa e/ou resultados devidamente validados. É no entanto importante suportar os seus argumentos com provas e assegurar a validade das mesmas. Um trabalho deste tipo pode ser relatório curto e a discussão de ideias, factos, situações, métodos, procedimentos ou resultados de pesquisa científica (bibliográfica, experimental, teórica ou outra) focada num dos temas da conferência. A aceitação de um trabalho de posição está restringido às categorias de “artigo curto” ou “poster”.

= Formato Final =

Depois de concluído o processo de revisão dos trabalhos submetidos, o autor de contacto (que submeteu o trabalho para a conferência) será notificado do resultado da apreciação. Os autores cujos trabalhos forem aceites devem seguir as recomendações dos revisores de melhoria dos seus trabalhos antes de submeterem a versão final dos mesmos.

= Publicações =

Todos os trabalhos aceites serão publicados na acta de conferência, com uma identificação ISBN. A acta da conferência será publicada pela OWASP em formato electrónico (a edição pela Springer foi cancelada devido ao número baixo de submissões recebidas).

Site de Web
http://www.ibwas.com

Secretariado
Endereço de correio electrónico: secretariat@ibwas.com

Datas importantes
Submissão de trabalhos: 31 de Outubro de 2010

Notificação de Aceitação: 28 de Novembro de 2010

Versão final dos trabalhos aceites: 5 de Dezembro de 2010

Conferência: 16 e 17 de Dezembro de 2010

Introducción
Existen importantes cambios en el paradigma del desarrollo de los sistemas de información. La aparición de tecnologías Web 2.0 ha permitido el desarrollo e implantación de forma masiva de aplicaciones y servicios web como una manera de desarrollar nuevos y flexibles sistemas de información. Estos sistemas son fáciles de desarrollar, implementar y mantener, además de aportar atractivas características para los usuarios favoreciendo así el uso masivo que encontramos actualmente.

Como resultado de este cambio de paradigma, los requisitos de seguridad también han cambiado. Estos sistemas de información basados en la Web tienen diferentes requisitos de seguridad en comparación con los sistemas tradicionales. Se han identificado los aspectos de seguridad más importantes y la privacidad también es un problema que se ha planteado recientemente. Además, el emergente paradigma Cloud Computing promete una mayor flexibilidad; sin embargo, los problemas de seguridad y privacidad aún necesitan ser revisados. El entorno de seguridad debería implicar no sólo al ambiente circundante, sino también el núcleo de la aplicación.

Esta conferencia pretende reunir a expertos en seguridad de aplicaciones, investigadores, educadores y profesionales de la industria, el sector académico y comunidades internacionales, como OWASP, con el fin de discutir los problemas abiertos y nuevas soluciones en seguridad de aplicaciones. En este contexto, los investigadores académicos serán capaces de combinar resultados interesantes con la experiencia de los profesionales y los ingenieros de software.

Temas de la Conferencia
Los temas sugeridos para el envío de presentaciones incluyen (pero no estan limitados a):


 * Desarrollo seguro de aplicaciones
 * Seguridad en arquitecturas orientadas a servicios
 * Seguridad en frameworks de desarrollo
 * Modelado de amenazas en aplicaciones Web
 * Seguridad en Cloud Computing
 * Vulnerabilidades y Anaĺisis de aplicaciones Web (revisión de código, pruebas de intrusión, análisis estático, etc.)
 * Métricas para seguridad en aplicaciones
 * Soluciones y recomendaciones para las vulnerabilidades en aplicaciones Web
 * Técnicas de codificación segura
 * Características de seguridad de la plataforma o lenguaje que ayuda a incrementar el nivel de seguridad en las aplicaciones Web
 * Uso seguro de bases de datos en aplicaciones Web
 * Control de acceso en aplicaciones Web
 * Seguridad en servicios Web
 * Seguridad en navegadores Web
 * Privacidad en las aplicaciones Web
 * Estándares, certificaciones y criterios de evaluación de la seguridad para aplicaciones Web
 * Sensibilización y educación sobre seguridad en aplicaciones
 * Seguridad para la Web móvil
 * Ataques y explotación de vulnerabilidades

Instrucciones para el envío de presentaciones
Los autores deben presentar un documento original en inglés, tras revisar cuidadosamente la gramática y ortografía, utilizando el procedimiento de envío on-line. Por favor, compruebe las características del documento ya que debe ser consciente del límite de páginas aceptadas (12 páginas, de acuerdo a una plantilla que se facilita y que pueden descargar desde aquí en formato Word).

Las directrices para el formato del documento facilitadas en el sitio web de la conferencia deben ser seguidas estrictamente para todos los trabajos presentados. El formato de presentación es el mismo que el formato final para impresión. Por favor revise y siga cuidadosamente las instrucciones y las plantillas proporcionadas.

Cada trabajo debe indicar claramente la naturaleza de su contribución técnica/científica, y los problemas, dominios o entornos en los que es aplicable.

Los trabajos que estén fuera del alcance de conferencias o puedan contener cualquier forma de plagio serán descartados directamente.

Comentarios sobre el procedimiento de presentación on-line:

1. Se utilizará un método de revisión anónimo, que será repetido al menos por dos revisores. Para facilitar esto, se ruega a los autores que proporcionen el trabajo sin ninguna referencia a los autores. Esto significa que es necesario eliminar los datos personales del autor, la sección de agradecimientos y toda referencia que pueda revelar la identidad de los autores.

2. Se aceptan documentos en formato: ODF, PDF, DOC, DOCX o RTF.

3. El procedimiento de presentación Web automáticamente envía un acuse de recibo, por correo electrónico, al autor de contacto.

= Tipos de envío de presentaciones =

Envío de presentaciones normales

Una presentación normal presenta un trabajo donde la investigación se ha completado o casi finalizado. Esto no necesariamente significa que la aceptación sea sobre un trabajo completo. Puede ser aceptado como un "trabajo completo" (30 min. de presentación oral), un "trabajo corto" (15 min. de presentación oral) o "poster".

Envío de presentaciones de posición

Una presentación de posición presenta una opinión discutible sobre un tema. El objetivo de un trabajo de posición es convencer a la audiencia que su opinión es válida y merece la pena ser escuchada, sin la necesidad de presentar un trabajo de investigación finalizado y/o los resultados validados. Es importante, sin embargo, apoyar su argumento con evidencias para asegurar la validez de sus opiniones. Un trabajo de posición puede ser un breve documento y discusión de ideas, hechos, situaciones, métodos, procedimientos o resultados de la investigación científica (bibliográfica, experimental, teórico o de otro tipo) centrado en uno de los temas de la conferencia. La aceptación de una presentación de posición se limita a las categorías de "trabajo corto" o "poster", es decir, una presentación de posición no es candidata para ser aceptada como "trabajo completo".

= Versión Final =

Después de que el proceso de revisión se complete, el autor de contacto (el autor que presenta el documento) de cada trabajo será notificado del resultado, por correo electrónico. Los autores están obligados a seguir las revisiones con el objetivo de mejorar su trabajo antes del envío de la versión final.

= Publicaciones =

Todos los trabajos aceptados serán publicados por OWASP en los materiales de las conferencias, bajo una referencia ISBN.

Sitio de las Conferencias
http://www.ibwas.com

Secretaría
Dirección de correo electrónicio: secretariat@ibwas.com

Fechas importantes
Envío de presentaciones: 31 de Octubre de 2010

Notificación de aceptación: 28 de Noviembre de 2010

Versión final de presentaciones aceptadas: 5 de Deciembre de 2010

Conferencias: 16 y 17 de Deciembre de 2010

IBWAS'10 Chairs
Carlos Serrão, ISCTE-IUL Instituto Universitário de Lisboa, OWASP Portugal, Portugal

Vicente Aguilera Díaz, Internet Security Auditors, OWASP Spain, Spain

IBWAS'10 Organization
Fabio Cerullo, OWASP Global Education Committee, Ireland

Dinis Cruz, OWASP Board Member, UK

Paulo Coimbra, OWASP Project Manager, UK

Miguel Correia, Universidade de Lisboa, Portugal

Paulo Sousa, Universidade de Lisboa, Portugal

Lucas C. Ferreira, Câmara dos Deputados, Brasil

Arturo "Buanzo" Busleiman, OWASP Argentina, Argentina

Martin Tartarelli, OWASP Argentina, Argentina

Paulo Querido, Portugal

IBWAS'10 Program Committee
André Zúquete, Universidade De Aveiro, Portugal Candelaria Hernández-Goya, Universidad De La Laguna, Spain Carlos Costa, Universidade De Aveiro, Portugal Carlos Ribeiro, Instituto Superior Técnico, Portugal Eduardo Neves, OWASP Education Committee, OWASP Brazil, Brazil Francesc Rovirosa i Raduà, Universitat Oberta de Catalunya (UOC), Spain Gonzalo Álvarez Marañón, Consejo Superior de Investigaciones Científicas (CSIC), Spain Isaac Agudo, University of Malaga, Spain Jaime Delgado, Universitat Politecnica De Catalunya, Spain Javier Hernando, Universitat Politecnica De Catalunya, Spain Javier Rodríguez Saeta, Herta Security, Spain Joaquim Castro Ferreira, Universidade de Aveiro, Portugal Joaquim Marques, Instituto Politécnico de Castelo Branco, Portugal Jorge Dávila Muro, Universidad Politécnica de Madrid (UPM), Spain Jorge E. López de Vergara, Universidad Autónoma de Madrid, Spain José Carlos Metrôlho, Instituto Politécnico de Castelo Branco, Portugal José Luis Oliveira, Universidade De Aveiro, Portugal Kuai Hinojosa, OWASP Global Education Committee, New York University, United States Leonardo Chiariglione, Cedeo, Italy Leonardo Lemes, Unisinos, Brasil Manuel Sequeira, ISCTE-IUL Instituto Universitário de Lisboa, Portugal Marco Vieira, Universidade de Coimbra, Portugal Mariemma I. Yagüe, University of Málaga, Spain Miguel Correia, Universidade de Lisboa, Portugal Miguel Dias, Microsoft, Portugal Nuno Neves, Universidade de Lisboa, Portugal Osvaldo Santos, Instituto Politécnico de Castelo Branco, Portugal Panos Kudumakis, Queen Mary University of London, United Kingdom Paulo Sousa, Universidade de Lisboa, Portugal Rodrigo Roman, University of Malaga, Spain Rui Cruz, Instituto Superior Técnico, Portugal Rui Marinheiro, ISCTE-IUL Instituto Universitário de Lisboa, Portugal Sérgio Lopes, Universidade do Minho, Portugal Tiejun Huang, Pekin University, China Víctor Villagrá, Universidad Politécnica de Madrid (UPM), Spain Vitor Filipe, Universidade de Trás-os-Montes e Alto Douro, Portugal Vitor Santos, Microsoft, Portugal Vitor Torres, Universitat Pompeu Fabra, Spain Wagner Elias, OWASP Brazil Chapter Leader, Brazil

Important Dates
Submission of papers and all other contributions due: 31st October 2010

Notification of acceptance: 28th November 2010

Camera-ready version of accepted contributions: 5th December 2010

Conference: 16th – 17th December 2010

Registration

 * Registration on the OWASP IBWAS'10 Training Day (part of the Conference) - 16th. December
 * Registration on the OWASP IBWAS'10 Conference - 17th. December

Draft Agenda
(*) not included

Keynote: How cryptography can rescue the web
Professor Carlos Ribeiro



Instituto Superior Técnico, Universidade Técnica de Lisboa, Portugal

The Web is gaining more and more commercial relevance and with that becoming a more interesting target for attack. On the other hand the Web communications foundations have not change much, and the programming skills of the average programmer are decreasing with the increasing number of programmers. This talk will focus on the first issue and how cryptography may be used to prevent several attacks. Crucial to this goal is the recent release of DNSSEC and several other Certificate infrastructures (e.g. Stork - a pan-European authentication infrastructure that may become keystones of this change.

Talk: The Thing That Should Not Be (a glimpse into the future of web application security)
Bruno Morisson



Integrity, S.A., Portugal

Developers are not security practicioners. Security practitioners are not developers. Developers create web applications. Security practitioners want those apps to be secure (sometimes even if security breaks functionality). Are developers and security practitioners like oil and water ? Are security practitioners taking the right approach to help web developers understand and prevent security issues, or are we simply trying to brute force developers into security gurus ?

Talk: Developing Secure Applications with OWASP
Martin Knobloch



Sogeti Netherlands, OWASP Netherlands, Netherlands

After an introduction about OWASP, Martin will higlight the top projects of OWASP. During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

Talk: Developing compliant applications
Martin Knobloch



Sogeti Netherlands, OWASP Netherlands, Netherlands

How to develop applications to be compliant to security related laws and regulations? To be compliant means to follow the regulations, most of the times not known by the developers. To be compliant includes to proof to be compliant. This presentation is about how to develop compliant (Web) applications that prove to be compliant!

Talk: Software Security in the Clouds
Miguel Correia



University of Lisboa, Faculty of Sciences, Portugal

Recently an expert wrote rather enfatically that "the current state of security in commercial software is rather distasteful, marked by embarrassing public reports of vulnerabilities and actual attacks". This situation is particularly concerning in times when companies are exporting their applications and data to cloud computing systems. The first part of the talk will be a personal vision of the combination of techniques and tools needed for protecing software. The second part will argue that this combination is still insuficient for critical applications in the cloud and propose solutions based on distributing trust among different clouds.

Talk: Jiffy - A secure instant messenger
Arturo 'Buanzo' Busleiman



OWASP Argentina, Argentina

Jiffy - "Just for you" is an instant messaging system baseed on OWASP's Enigform, SSL and the OpenPGP Web-of-Trust. In this talk, Buanzo will introduce us to OpenPGP, Enigform and Jiffy.

Talk: Is OAuth really secure?
Bruno Pedro



Tarpipe, Portugal

Is the OAuth protocol really secure? Even though the OAuth authorization protocol has been published as the RFC 5849 and is being widely adopted by large Internet companies, it's important to stress out its possible security vulnerabilities.

This talk will focus on the OWASP Top 10 Application Security Risks and how OAuth is affected by them. While some of the security risks are mitigated by OAuth, developers need to take some action to prevent other risks from affecting their implementations.

Talk: Will new HTTP headers save us?
John Wilander



Omegapoint, Sweden

Browser vendors and Internet techies are teaming up to find solutions to some of the most common and dangerous security problems on the web. New HTTP headers seems to be a favorite carrier of security instructions from the server to the browser. During this talk John will demo three such headers – Strict-Transport-Security, X-Frame-Options, and X-Content-Security-Policy – and discuss if they can solve cross-site scripting, clickjacking, phising, and man-in-the-middle attacks.

Talk: 2010 and still bruteforcing
Christian Martorella



Verizon Business, UK

The presentation will review some of the latest attacks that affected big companies and involved Brute force attacks, showing that this attack is still very effective. The second part of the presentation will introduce Webslayer, an OWASP project, that intend to cover all needs for web application brute force tests.

Talk: Insecure by Nature - Portuguese Net Security Overview
Francisco Rente



Faculdade de Ciência e Tecnologia, Universidade de Coimbra, Portugal

Understanding internet security trends it is a consensual need. Vigilis (former project Nonius), studies the IPv4 address space and .pt TLD allocated to Portugal for two years now. Creates a historical perspective of vulnerability life-cycles and malware presences. Aims to arise awareness among the Portuguese society, giving threat indicators based on real data harvested every four months.

The speaker will give a briefing on the last Vigilis results and will identify some possible reasons to this national problem.

Talk: Web Security from an auditor's standpoint: What works and what doesn't
Luís Grangeia



Sysvalue, S.A., Portugal

In this talk I will attempt to share my experience of over 10 years conducting Web Application security assessments. I will present the current panorama of Web application security practices and talk about what are we doing well and how we can do better. Also, the Web 2.0 has sparked a “social revolution” of the Web, how can security benefit from that revolution?

Papers
Authors should submit an original paper in English, carefully checked for correct grammar and spelling, using the on-line submission procedure (submission site). Please check the paper formats so you may be aware of the accepted paper page limits (12 pages, in accordance to a supplied template, that can be downloaded from here: in Word Format).

The guidelines for paper formatting provided at the conference web site must be strictly used for all submitted papers. The submission format is the same as the camera-ready format. Please check and carefully follow the instructions and templates provided.

Accepted Papers
Rekha Kashyap and Deo Prakash Vidyarthi, "Weighted Deadline Driven Security Aware Scheduling for Real time Computational Grid"

Sergio Nunes and Miguel Correia, "From Risk Awareness to Security Controls: Benefits of Honeypots to Companies"

Joao Franco and Francisco Nina Rente, "Neofelis, High-Interaction Honeypot Framework for Mac OS X"

Rodrigo Assad, "OntoLog: A Security log analyses tool using web semantic and ontology"

Mordechai Guri, "SecureForms: Hypervisor-level Service to Secure Online Sensitive Information from Spyware and Key-loggers"

Nuno Teodoro and Carlos Serrao, "Automating Web Applications Security Assessments through Scanners"

Rodrigo Assad and Tarciana Katter, "Security Quality Assurance on Web-based Application through Security Requirements Tests based on OWASP Test Document: elaboration, execution and automation"

Venue
IBWAS'10 will be taking place at the ISCTE - Lisbon University Institute in Lisbon, Portugal.

Location
Ed. ISCTE Av. das Forças Armadas 1600- Lisboa Portugal

Find the location on Google Maps.

 38.748862, -9.152384, ISCTE-IUL

http://www.allofads.com/files/images/mapa_iscte.jpg

How to get there?
Car
 * Go up the Av.ª das Forças Armadas.
 * Turn north at the crossing with Av.ª Prof. Gama Pinto. The crossing is located at the highest point of Av.ª das Forças Armadas.
 * Turn to the second street right.
 * Turn to the first street right.
 * The main entrance of ISCTE is at your left.

Train
 * Leave the train at the Entrecampus station. Look for the exit leading to Av.ª da República.
 * Walk north for about 250 m towards the Rotunda de Entrecampus (a circle).
 * At the circle, turn left to the Av.ª das Forças Armadas.
 * Climb west for about 300 m towards Sete Rios. Use the sidewalk on the right.
 * The entry leading to ISCTE will be at your right, immediatly after the canteen of the University of Lisbon.

Bus
 * Get on any Carris bus with numbers 54, 701, or 732.
 * Leave the bus at the "Faculdade de Farmácia" stop, at the top of Av.ª das Forças Armadas, close to an old house with ia battlemented roof.
 * Walk down the avenue for about 50 m. The entry leading to ISCTE will be at your left, immediatly before the canteen of the University of Lisbon.

Subway

First alternative:
 * Leave the train at the Entrecampos station.
 * Exit the station through the north exit, leading to the Rotunda de Entrecampos (a circle), close to Av.ª das Forças Armadas.
 * From the circle, go west, up the Av.ª das Forças Armadas, for about 300 m.
 * Use the sidewalk on the right.
 * The entry leading to ISCTE will be at your right, immediatly after the canteen of the University of Lisbon.

Second alternative:
 * Leave the train at the Cidade Universitária station.
 * Exit the station through the passage leading to Hospital de Santa Maria.
 * Walk south, along the left sidewalk of Av.ª Prof. Gama Pinto, for about 150 m (i.e., walk towards the Av.ª das Forças Armadas).
 * After the crossing with the Av.ª Prof. Egas Moniz (at your right), turn into the first street at your left.
 * Turn to the first street right.
 * The main entrance of ISCTE is at your left.

Here is the representation of the walking on the map.

http://www.allofads.com/files/images/mapa_iscte_1.jpg

Links

Metro: www.metrolisboa.pt Buses www.carris.pt Trains: www.cp.pt Taxis: www.antral.pt

Hotels
This page contains information about the recommended hotels for the conference. All of the hotels are near to the conference place at a 5 to 15 minutes walking distance. PLease use the following reference when reserving your hotel: "Conferência IBWAS'10".

SANA Metropolitan Hotel ****
Rua Soeiro Pereira Gomes, Parcela 2, Entrecampos, 1600-198 Lisboa, Lisboa



Location on Google Maps.

Hotel web-site.

Vip Executive Villa Rica Hotel ****
Av.5 de Outubro Nr. 295, Entrecampos, 1600-035 Lisboa (Lisboa)

http://www.viphotels.com/Images/VIPExecutiveVillaRica/galeria/Exterior/01.jpg

Location on Google Maps.

Hotel web-site.

NH Campo Grande ****
Campo Grande, 7, 1700-087 Lisboa, Lisboa

http://www.nh-hoteles.pt/nh/hotel-gallery/1101383-t2-z2w.jpg http://www.nh-hoteles.pt/nh/hotel-gallery/1101375-t2-z2w.jpg

Location on Google Maps.

Hotel web-site.

Hotel VIP Executive Zurique ***
Rua Ivone Silva 18, 1050 Lisboa

http://www.viphotels.com/Images/VIPExecutiveZurique/galeria/Exterior/03.jpg

http://www.viphotels.com/Images/VIPExecutiveZurique/galeria/Interior/05.jpg

Location on Google Maps.

Hotel web-site.

Hotel Berna ***
Avenida António Serpa 13, 1069 Lisboa

http://www.viphotels.com/Images/VIPInnBerna/galeria/Exterior/02.jpg

http://www.viphotels.com/Images/VIPInnBerna/galeria/Interior/05.jpg

Location on Google Maps.

Hotel web-site.

Holiday Inn Hotel Continental ****
Rua Laura Alves 9, 1050 Lisboa‎



Location on Google Maps.

Hotel web-site.

Radisson Blu Lisboa ****
Av. Marechal Craveiro Lopes, 390, Entrecampos, Lisboa (Lisboa)

http://www.hoteis.com/13/hotels/1000000/530000/524600/524550/hcom_524550_7_b.jpg http://static.laterooms.com/hotelphotos/laterooms/179198/gallery/radisson-blu-lisboa-lisboa_250520090848039933.jpg

Location on Google Maps.

Hotel web-site.

Sponsors
We are currently soliciting sponsors for the IBWAS'10 Conference. Please refer to our sponsorship opportunities for details.

Slots are going fast so [mailto:secretariat@ibwas.com contact us] to sponsor today!

{| cellspacing="10" border="0" align="center" style="background: none repeat scroll 0% 0%; -moz-background-clip: border; -moz-background-origin: padding; -moz-background-inline-policy: continuous; color: white;"

Sponsors

 * http://ibwas09.netmust.eu/files/iscte-iul.png
 * http://ibwas09.netmust.eu/files/adetti.png
 * http://ibwas09.netmust.eu/files/pasted-graphic.jpg
 * http://ibwas09.netmust.eu/files/lasige.png
 * &nbps;
 * http://ibwas09.netmust.eu/files/ibwas10/maxdata.png
 * http://ibwas09.netmust.eu/files/ibwas10/noesis.png
 * http://ibwas09.netmust.eu/files/ibwas10/neoglobeconsulting.png
 * http://ibwas09.netmust.eu/files/ibwas10/syngress.jpg
 * http://ibwas09.netmust.eu/files/ibwas10/syngress.jpg

Media Sponsors

 * http://ibwas09.netmust.eu/files/ibwas10/aeiou.png
 * http://ibwas09.netmust.eu/files/redseguridad.jpg

Supported by

 * [[Image:]]
 * [[Image:]]
 * [[Image:]]
 * [[Image:]]
 * [[Image:]]
 * [[Image:]]
 * [[Image:]]
 * }
 * [[Image:]]
 * }
 * [[Image:]]
 * }
 * }
 * }
 * }
 * }

Visit Lisbon
For Tourist Information and more: Visit Lisbon (website of the Lisbon Tourism Office). See also here. About Portugal, see here.

LISBON is beautiful, historic, modern, sunny & it never stops! It is an enchanting city with delightful cuisine and unforgettable sites. The city holds many pleasant surprises to visitors who wish to enjoy their stay. The capital of Portugal since its conquest from the Moors in 1147, Lisbon is a legendary city with over 20 centuries of History. The Alfama is one of the oldest quarters in Lisbon. It survived the earthquake of 1755 and still retains much of its original layout. In addition to Alfama are the likewise old quarters of Castelo and Mouraria, on the western and northern slopes of the hill that is crowned by St. George's Castle. Radiant skies brighten the monumental city, with its typical tile covered building façades and narrow medieval streets, where one can hear the fado being played and sung at night.

Here's a taste of what you can find here in Lisbon, or nearby.

In the News
List of places where the IBWAS'10 conference has been referenced.


 * RedSeguridad Magazine, September 2010

IBWAS'10 Internals

 * IBWAS'10 Conference financials


 * IBWAS'10 Training Day financials