German OWASP Day 2011

Die führende deutsche Konferenz zur Webapplikations-Sicherheit

= OWASP Day 2011 =

4. German OWASP Day 2011
Langsam wird es zur erfreulichen Gewohnheit: Wie die letzten drei Jahre (siehe 2010, 2009, 2008) gab es auch dieses Jahr in Deutschland wieder eine OWASP-Konferenz, den 4. German OWASP Day (früher bekannt als "AppSec Germany"). Dieses Mal fand die Konferenz in München statt.

Am Event nahmen circa 160 Leute teil. Von diesen kamen etwa 100 bereits am Vortag an, um sich bei einem traditionell bayerischen Abendessen in einem von Münchens berühmten Brauerei-Wirtshäusern auf den kommenden Tag vorzubereiten.

Die Konferenz wurde von Keynote-Speakerin Isabel Münch vom BSI eröffnet. Anschließend konnten sich die Teilnehmer dann zwischen zwei parallel stattfindenden Tracks mit jeweils fünf Vorträgen entscheiden. Die vorgestellten Themen deckten von Mobile und WebService Security über SDLC und Cross-Domain-Policy bis hin zu Cyberthreats und XML Encryption ein Breites Spektrum der IT-Sicherheit ab.

Wo
Die Konferenz fand im NH-Hotel München Dornach statt.

Die Vorabendveranstaltung fand im Augustiner Bräu München statt.

Wann

 * Vorabendveranstaltung: Mittwoch, den 16.11.2011
 * Konferenz: Donnerstag, den 17.11.2011

Highlights
Das OWASP Academy Portal bot ein "Labor" mit theoretischen und praktischen Übungen zu den OWASP Top 10 an. Das Portal wurde im Rahmen des Vortrags OWASP Global Education Committee von Martin Knobloch vorgestellt und erklärt.

Organisation

 * Birgit Bernskötter (Extern)
 * Georg Hess (Chapter Leader)
 * Bruce Sams (Board Member)
 * Tobias Glemser (Board Member)
 * Achim Hoffmann (Board Member)
 * Ulrike Petersen (Board Member)
 * Dirk Wetter

Hash tag
#owasp_d2011

= Pressemitteilungen =

25.11.2011
[[Media:Pressemeldung 25 11 2011.pdf|PDF Version]]

Vierter German OWASP Day 2011: Hochklassige Websicherheitskonferenz
Am 17.11.2011 lockte die vierte Konferenz der deutschen Sektion des OWASP (Open Web Application Security Project) – der German OWASP Day – mehr als 160 Interessierte und Experten aus dem Bereich der Web- und Softwaresicherheit nach München, um sich über ak-tuelle und zukünftige Bedrohungen und deren Kontrolle zu informieren und Kontakt mit Vor-tragenden und Gleichgesinnten zu pflegen.

Nicht zuletzt durch die Datenlecks bei namhaften amerikanischen als auch bei einer Reihe von deutschen Firmen ist 2011 das Jahr der Datenlecks im Internet, die größtenteils auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Mehr als doppelt so viele Teil-nehmer wie im vergangenen Jahr verdeutlichen das stark wachsende Interesse am Thema Websicherheit. Pünktlich zum German OWASP Day hat ein engagiertes Team eine deutsche Übersetzung der bekannten OWASP Top10 fertiggestellt und als Broschüre auf der Konferenz verteilt. Sie soll helfen, Risiken im Bereich der Websicherheit Managern wie Technikern besser zu ver-deutlichen.

Als Keynote konnte das German Chapter des OWASP Isabel Münch vom Bundesamt für Si-cherheit in der Informationstechnik (BSI) gewinnen. Ihre Eröffnung der vierten deutschen OWASP-Konferenz bot ein Review der sich ändernden Bedrohungen im Internet und endete mit einem Kollaborationsangebot des BSI für die deutsche OWASP-Community. Die Konferenz bot ein vielschichtiges Programm im Anschluss an die Keynote. Zwei paral-lele Tracks deckten von Secure Software Development Life Cycle, Statischer Code Analyse über Web-Service-Security, Mobile Security und Browser-Sicherheit sowie aktuellen Cyber-Bedrohungen ein breites Spektrum ab. Eins der Highlights war Juraj Somorovsky, der zeigte, wie unsicher XML Encryption bei Verwendung des Cipher Block Chaining Mode (CBC) auf-grund eines Orakelphänomens ist, und an welchen Stellen Eucalyptus und Amazon durch XML Signature Wrapping ein Problem hatten. Als eingeladener Sprecher markierte Thomas Roessler vom W3C den Abschluss der Konferenz, der eindringlich davor warnte, den client-seitigen Teil der Sicherheit von Webanwendungen zu vernachlässigen. Das Anwendungspara-digma heißt heute „Cloud“, JavaScript und Flash sei nun weitaus leistungsfähiger und um-fangreicher, aber auch komplexer in puncto Sicherheit. Das Letztere wird auch bei weiterer Verbreitung von HTML5 gelten. Teilnehmer, Sprecher sowie die Organisatoren vom German Chapter des OWASP äußerten sich hoch zufrieden über den Verlauf und die Qualität der Konferenz. Ort und Datum des fünften German OWASP Day wird Anfang nächsten Jahres bekannt gegeben.

OWASP ist eine offene Community mit dem Ziel, Know-How im Bereich der Websicherheit aufzubauen. Im Vordergrund stehen Best Practices, Tools und Konzepte für die sichere Ent-wicklung, Test und Schutz von Webanwendungen. Zielgruppe sind Entwickler, Sicherheitsbe-rater, Projektmanager und Sicherheitsbeauftragte. Weitere Informationen zum deutschen Chapter des OWASP sind unter https://www.owasp.org/index.php/Germany verfügbar.

= Abendveranstaltung =

Wann
Mittwoch, den 16.11.2011, ab 19:30

Wo
Augustiner Bräustuben, Landsberger Str. 19, 80339 München Stadtplan und Streetview

Raum Alte Schmiede

S-Bahn
Fahrplanauskunft
 * Vom Hauptbahnhof: S1, S2, S3, S4, S6, S7, S8 bis Hackerbrücke, dann ca. 5 Minuten Fußweg (Hackerbrücke Richtung Süden, Grasserstr. bis Landsbergerstr., dann rechts bis zur nächsten Straße links)
 * Vom Westen (z.B. Pasing): S3, S4, S6, S8 bis Hackerbrücke, dann wie vom Hauptbahnhof

Hauptbahnhof
(Ausgang Süd) ca. 15 Minuten, zu Fuß Bayerstraße Richtung Westen, weiter in Landsbergerstr. bis Nr. 19

Auto

 * Vom Westen (z.B. Autobahnende A8): am Autobahnende rechts nach Pasing, dort links in Richtung München Zentrum, wird zur Landsbergerstr.
 * alle anderen Richtungen über Mittlerer Ring West bis Donnersbergerbrücke, dort Richtung München Zentrum, ist die Landsbergerstr.

= Eindruecke =

Teilnehmer-Meinungen
Das sagen unsere Teilnehmer über uns:

"Es war sehr interessant und relevant. Gute Kontakt-Knüpfungs-Möglichkeit"

"Meine Erwartungen wurden mehr als erfüllt"

"Hoher Nutzen, kompetente Referenten, Networking, Aufbau eines kontinuierlichen Erfahrungsaustauschs"

"Einfach toll!"

"Der Vorabend war gigantisch"

Die Übersetzer der OWASP Top 10 Broschüre
(v.l.n.r. Kai Jendrian, Frank Dölitzscher, Ralf Reinhardt, Tobias Glemser, Dr. Ingo Hanke und Michael Schäfer)



Die Keynote von Isabella Münch vom BSI fand großen Anklang
= Agenda : Presentations =

Agenda / Presentations
Die Agenda für den 4. German OWASP Day 2011:

Downloads

 * Georg Heß — [[Media:00_OWASP_German_Day_4_Einleitung_-_Georg_Hess.pdf|Begrüßung]]
 * Isabel Münch (BSI) Keynote — [[Media:01_OWASP_German_Day_4_Keynote_-_Isabel_Muench.pdf|Sicherheit in und für Deutschland]]
 * Sebastien Deleersnyder - [[Media:02_OWASP_German_Day_4_OWASP-Introduction_-_Sebastien_Deleersnyder.pdf|OWASP Introduction]]
 * Sebastian Schinzel — [[Media:03A_Quellcodescans_-_Sebastian_Schinzel.pdf|Quellcodescans von Webanwendungen in der Praxis - gängige Fallstricke und Wege zum erfolgreichen Einsatz in Unternehmen]]
 * Rob Rachwald, Noa Bar-Yosef — [[Media:03B_What_are_hackers_hacking_-_Rob_Rachwald.pdf|What are hackers hacking?]]
 * Andreas Kurtz — [[Media:04A_Sicherheit_mobiler_Apps_-_Andreas_Kurtz.pdf|Sicherheit mobiler Apps]]
 * Martin Knobloch — [[Media:OWASP_GermanyDay_2011-Global_Education_Committee.pdf|OWASP Global Education Committee]]
 * Sebastian Lekies, Walter Tighzert — [[Media:05A_Client-Side_Cross-Domain_Requests_-_Sebastian_Lekies%2BWalter_Tighzert.pdf|Client-Side Cross-Domain Requests im Webbrowser: Techniken, Policies und Sicherheitsprobleme]]
 * Thomas Biege — [[Media:05B_No_reason_to_be_SAD_-_Thomas_Biege.pdf|No reason to be SAD? The Integration of a Secure Development Life Cyle in OSS Enterprise Web Applications]]
 * Hans-Joachim Knobloch, Kai Jendrian — [[Media:06A_Web-Services-Security_-_Reicht_der_REST_-_Hans-Joachim_Knobloch%2BKai_Jendrian.pdf|Web-Services-Security - Reicht der REST?]]
 * Bruce Sams — [[Media:06B_Secure_SDLC_-_Bruce_Sams.pdf|Secure SDLC für die Masse dank OpenSAMM?]]
 * Amir Alsbish — [[Media:07B_IT-Sicherheit_in_Unternehmen_-_Amir_Alsbih.pdf|IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten]]
 * Juraj Somorovsky — [[Media:07A_Breaking_XML_Signature_and_Encryption_-_Juraj_Somorovsky.pdf|How To Break XML Signature and XML Encryption]]
 * Thomas Roessler (W3C) Invited Talk — [[Media:08_OWASP_German_Day_4_Invited_Talk_Von_Webseiten_zu_verteilten_Cloud-Anwendungen_-_Thomas_Roessler.pdf|Von Webseiten zu verteilten Cloud-Anwendungen: Entwicklungen in der Web-Sicherheit]]

Sebastian Schinzel — Quellcodescans von Webanwendungen in der Praxis - gängige Fallstricke und Wege zum erfolgreichen Einsatz in Unternehmen
Statische Code-Analyse (SCA) ist ein Software-Testverfahren, um nach Schwachstellen im Quelltext einer Anwendung zu suchen, ohne diese auszuführen. Automatisierte Werkzeuge (so genannte SCA-Tools) sollen bei der Analyse unterstützen. Mittlerweile sind diese Werkzeuge technische ausgereift und finden reale Schwachstellen – auch und gerade in Webanwendungen, die häufig ein besonderes Risiko für Unternehmen darstellen.

Häufig werden SCA-Tools noch als simple "Bug-Finder" angesehen, mit denen ein Softwaretester bereits fertig entwickelte Anwendungen auf Schwachstellen untersucht. Diese Ansicht ist aus vielerlei Gründen problematisch: Erstens werden Schwachstellen erst sehr spät im Entwicklungsprozess gefunden. Da es bekanntlich deutlich günstiger ist, Defekte während der Entwicklung zu beheben als zu einem späteren Zeitpunkt, ist die nachgelagerte Ausführung häufig unwirtschaftlich. Zweitens bekommen die Entwickler kein direktes Feedback, lernen daher nicht aus ihren Fehlern und machen die gleichen Fehler wieder und wieder. Hier kommen letztendlich auch psychologische Aspekte zum Tragen: Anstatt am Ende eines Projekts für seine Programmierfehler gerügt zu werden, sollten die Entwickler durch SCA-Tools bereits während der Entwicklung auf mögliche Schwachstellen hingewiesen werden. Drittens kann das SCA-Tool am Ende von großen Projekten mehrere Hundert oder Tausend potentielle Schwachstellen melden. Diese Ergebnisse zu bewerten bedeutet erheblichen Aufwand und kann sowohl Budget und Abgabefristen, als auch die Nerven des Teams überstrapazieren.

In diesem Vortrag zeige ich, wie und an welcher Stelle im Entwicklungsprozess SCA-Tools in erfolgreichen Entwicklungsprojekten eingesetzt werden, wie man nach dem Kosten/Nutzen-Prinzip entscheidet, welche Testfälle eines SCA-Tools aktiviert werden sollten und wie man auch große Mengen gefundener Schwachstellen aus der Sicht des Risikomanagements bewertet.

Rob Rachwald, Noa Bar-Yosef — What are hackers hacking?
Vulnerabilities are everywhere. Knowing where they are is useful - but knowing which one will be exploited is much more useful. Security professionals need to focus on real threats plaguing today’s practitioners and provide up-to-date statistics on actual attack data. Where can they get such data?

Imperva’s HII analyzes hacker attack data on a regular, detailed basis and helps answer: What are the most commonly exploited vulnerabilities? What are the trending topics hackers are discussing? Where should practitioners focus their Web security controls? The talk will discuss each of these questions separately and provide data collected from:


 * Honey pots which track and record live attack traffic.
 * Monitored discussions on hacker forums.
 * Analyses of hacker technologies and innovations.

Andreas Kurtz — Sicherheit mobiler Apps
Apples Mobilgeräte, wie das iPhone und das iPad, erfreuen sich nicht nur im Consumer-Bereich immer größerer Beliebtheit, sondern erhalten auch mehr und mehr Einzug in Unternehmen. Aufgrund des mittlerweile hohen Verbreitungsgrads von iPhones und iPads, sowie der Sensitivität, der auf diesen Geräten verarbeiteten Daten, ergeben sich hohe Sicherheitsanforderungen an das iOS Betriebssystem sowie die betriebenen Apps.

Während sich Sicherheitsüberlegungen in der Vergangenheit dabei meist auf die Integration und Pflege der mobilen Endgeräte in der Unternehmensinfrastruktur beschränkten, wurde die Sicherheit der darauf betriebenen Apps zuweilen meist vernachlässigt.

Im Rahmen dieses Vortrags werden zahlreiche Sicherheits- und Datenschutzprobleme mobiler Apps am Beispiel von Apples iOS demonstriert. Anhand einiger identifizierter Schwachstellen in weit-verbreiteten und populären Apps, werden häufige Programmier- und Designfehler erläutert, die immer wieder zu gravierenden Schwachstellen in mobilen Apps führen.

In diesem Zusammenhang wird auch das „OWASP Mobile Security Project“ vorgestellt und die Erfahrungen aus zahlreichen Sicherheitsüberprüfungen mobiler Apps mit dem aktuellen Entwurf der „OWASP Top 10 Mobile Risks“ abgeglichen.

Martin Knobloch — OWASP Global Education Committee
The OWASP Global Education Committee (GEC) has various new projects that are important and worth sharing:


 * OWASP Academy Portal


 * The OWASP Academy Portal will be the online Application Security training environment of OWASP. Powered and Sponsored by Hacking Labs and SecurityInnovations, the portal offers training material and training excercises.


 * To main groups will be addressed by the Academy Portal:
 * - Teachers, e.g. professors teaching about IT
 * - Students, e.g. all who want to learn about Application Security
 * The talk will show the goals, status and future plans of the AcademyPortal!


 * OWASP Training Events


 * As already familiar in relation to the OWASP AppSec conferences, the GEC is busy organizing OWASP Training Conferences, indepent to AppSec conferences.
 * This part will update the audience with the status and plans of the OWASP Training Events.

Sebastian Lekies, Walter Tighzert — Client-Side Cross-Domain Requests im Webbrowser: Techniken, Policies und Sicherheitsprobleme
Von Beginn an verändert sich das World Wide Web stetig. Um neue Anwendungen zu realisieren werden ständig neue Technologien entwickelt und in den Browser integriert. Cross-Domain Requests stellen eine dieser neuen Technologien dar. Mit Hilfe von Adobe Flash, Microsoft Silverlight oder dem in HTML5 integrierten Cross-Origin Resource Sharing (CORS) lassen sich trotz der "Same-Origin Policy" client-seitig HTTP-Anfragen erzeugen, die im Authorisierungskontextes des Benutzers ausgeführt werden. Prinzipiell ist es mit diesem Mechanismus möglich, private Daten zu stehlen oder geschützte Aktionen auszuführen. Um dies zu vermeiden, setzen all diese Technologien eine server-seitige Erlaubnis voraus. Hierzu muss der Server eine Policy bereitstellen in der vertrauenswürdige Domains gelistet sind. Bevor ein sogenannter Cross-Domain Request durchgeführt wird, lädt der Browser diese Policy herunter und überprüft, ob die anfragende Webseite für den Server vertrauenswürdig ist oder nicht. Falls ja, wird die Anfrage durchgeführt. Falls nein, verhindert der Browser den Request. Um mögliche Sicherheitsprobleme mit diesem Modell zu untersuchen, haben wir eine große Studie durchgeführt. Im Rahmen dieser Studie wurden 1.000.000 Internetseiten überprüft und deren Cross-Domain Policies ausgewertet. Insgesamt wurden hierbei zirka 83.00 Policies gefunden, von denen zirka 31.000 potentiell unsicher sind. Wiederum zirka die Hälfte dieser Webseiten (15.000) weisen deutliche Anzeichen darauf hin, dass private Daten durch Cross-Domain Requests gestohlen werden könnten. Im weiteren Verlauf wird vorgestellt, welche Webseiten besonders unsicher sind und wie Cross-Domain Policies sicher eingesetzt werden können. Zusätzlich wird eine Firefox Extension vorgestellt, die in der Lage ist potentiell schädliche Requests zu entschärfen, indem Session Cookies von maliziösen Requests abgeschnitten werden. Ein Nutzer kann sich somit vor unsicheren Policies schützen, ohne die Anwendungslogik legitimer Anwendungen zu stören.

Thomas Biege — No reason to be SAD? The Integration of a Secure Development Life Cyle in OSS Enterprise Web Applications
Secure software is the Achilles' heel of todays IT infrastructure, especially in a open-source world were development cycles are short, budgets are small and competitors did not sleep.To cut our costs and decrease the Total Cost Of Ownership for our products we attacked the most expensive bugs, security bugs, by integrating a simple Secure Development Life-Cycle, called SAD, into the agile development processes of our enterprise web-applications. The process itself is an assemble of different industry-standard approaches plus a good dose of common sense due to lessons learned during my work. The tools and resources used were open-source (i.e. from OWASP) and often self-written to fill the gaps of the FOSS world. During the session you will see how we saved us and our customers several thousands Euros and released a product with solid security properties.

Hans-Joachim Knobloch, Kai Jendrian — Web-Services-Security - Reicht der REST?
Derzeit gibt es zwei verbreitete Ansätze für Web-Services: SOAP und REST. RESTful Web-Services können sich zunächst "nur" auf die Sicherheitsfunktionen von SSL/TLS und HTTP abstützen. Rund um SOAP gibt es dagegen eine elaborierte WS-Security Architektur. Daher scheint aus Sicherheitsgesichtspunkten zunächst SOAP gegenüber REST im Vorteil. Dennoch geht der Trend in der Praxis zur Nutzung von RESTful WebServices.

Es wird ein kurzer Überblick über die beiden Ansätze und über die Sicherheitsmechanismen im SOAP-Umfeld (WS-Security, WS-SecureConversation, WS-Federation, WS-Authorization, WS-Policy, WS-Trust, WS-Privacy) gegeben. Deren Funktionalitäten müssen für RESTful WebServices bei Bedarf per SSL/TLS und/oder durch explizite Programmierung auf Anwendungsebene ersetzt werden.

Trotz der Vielzahl an sicherheitsbezogenen, teilweise noch in Bearbeitung befindlicher Spezifikationen im SAOP-Umfeld reichen diese jedoch aus unserer Ansicht nach ebenfalls nicht aus, um Sicherheitsanforderungen aus der Praxis vollständig abzudecken. So fehlt beispielsweise ein Bandbreitenmanagement als Schutz gegen Überlastung. Auch steht momentan kein etablierter, allgemein nutzbarer Federated Identity Management Dienst zur Verfügung.

Umgekehrt sind viele SOAP-Sicherheitsmechanismen - zumindest momentan noch - eher wenig praxisrelevant: Die WS-Security-Architektur ist für die beliebige Verknüpfung von Webdiensten in einer völlig offenen Landschaft gedacht. Dies kommt dem Problem gleich, durch Rufen auf einem belebten Marktplatz eine Skatrunde aus völlig Fremden zusammen zu stellen und miteinander eine Partie zu spielen.

In der Praxis dominieren derzeit jedoch andere Anwendungsszenarien, bei denen die Grenzen zwischen Vertrauensbereichen (Trust Domains) wesentlich einfacher verlaufen als in einer völlig offenen Landschaft, nämlich interne Verknüpfung von Anwendungen, bilateraler Datenaustausch mit Partnern und geschlossene Benutzergruppen (CUG). Innerhalb einer Trust Domain kann ein WebService sich dann häufig darauf abstützen, dass die aufrufende Anwendung bereits grundlegende Sicherheitsfunktionen wie die Authentifikation und Autorisierung des dahinter stehenden Anwenders erbringt. D. h. der aufgerufene WebService muss diese nicht - wie in einer offenen Landschaft - zwingend selbst gewährleisten.

Für die drei genannten Anwendungsszenarien reichen daher auch die Sicherheitsmechanismen aus, die RESTful WebServices zur Verfügung stehen, d. h. besonders SSL/TLS mit Client-Authentifkation, ergänzt um Maßnahmen zum Schutz der Verfügbarkeit gegen Überlastung (die auch in WS-Security so nicht enthalten sind) sowie bei Bedarf Maßnahmen auf Anwendungsebene wie bspw. XMLDsig oder andere Signaturen der übergebenen Daten. Besonders wichtig ist eine genaue Überprüfung der Daten und die Prüfung der Autorisierung an Übergabepunkten zwischen Trust Domains. Auf organisatorischer Seite kommen dazu noch SLAs oder andere rechtlich bindende Vereinbarungen mit Partnern und CUG-Mitgliedern.

Daraus ergibt sich für uns als Antwort auf die Frage im Titel: Für die Mehrzahl der heutigen WebService-Anwendungsszenarien werden Sicherheitsfunktionen der WS-Security-Architektur von SOAP nicht unbedingt benötigt; die für REST nutzbaren Mittel reichen aus. Getreu dem Motto: Lieber erst einmal das Einfache richtig machen, anstatt sich beim potentiell Perfekten zu verheddern.

Markus Wagner Bruce Sams — Secure SDLC für die Masse dank OpenSAMM?
Mit der Grundaussage „(Web-)Anwendungssicherheit kann nicht durch eine Einzelaktion erreicht werden“ wird bereits seit Jahren (erfolgreich?) versucht das Sicherheitsbewusstsein von Anwendungsentwickler und Sicherheitsverantwortlichen zu erhöhen und das Thema Security als essentielle Komponente eines Softwareentwicklungsprozesses zu verstehen. Um dies möglichst effizient zu gestalten und Unterstützung bei der Einführung eines secure Software Development Life Cycle (SSDLC) zu bieten, wurden bereits vor einigen Jahren Verfahren und Modelle erarbeitet.

Dieser Vortrag soll daher einen kurzen Vergleich des OWASP-eigenen Projekts OpenSAMM mit den bekanntesten Vertretern BSIMM und Microsoft SDL bieten.

Der Schwerpunkt liegt allerdings auf Erfahrungsberichten aus dem täglichen Einsatz von OpenSAMM in Unternehmen. Positive Erkenntnisse, aber auch fehlende Aspekte sollen dabei von der ersten Analyse, über die Etablierung bis hin zum Regelbetrieb veranschaulicht werden.

Amir Alsbish — IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten
Wie in anderen Bereichen, weicht die Theorie auch im Bereich der Informationssicherheit von der Wirklichkeit ab. In dieser Präsentation werden auf Probleme eingegangen, die sich für die Verantwortlichen für die Informationssicherheit in Unternehmen ergeben. Am Beispiel von interner und externer Softwareentwicklung in Projekten, soll gezeigt werden, wie die Sicherheit durch die Kombination von Personen, Prozessen, Verträgen und Technologie auf pragmatischem Werg erhöht werden kann. Dabei werden konkrete Erfahrungen und Beispiele zu unterschiedlichsten Themen aufgezeigt. Insbesondere sollen dabei kostenfreie Blueprints z.B. aus diversen OWASP Projekten, Tools wie das SDL Threat Modeling Tool, oder Hardening Vorgaben wie beispielsweise den CIS Vorgaben angesprochen werden, mit denen positive Erfahrungen gesammelt wurden. Weiterhin soll gezeigt werden, welchen Mehrwert Checklisten für Unternehmen darstellen, auch wenn diese von vielen Unternehmen abgelehnt werden. Abschließend soll auf einen Ansatz eingegangen werden, mit denen fehlendes Budget ausgeglichen werden kann.

Juraj Somorovsky — How To Break XML Signature and XML Encryption
Extensible Markup Language (XML) is a syntax for serialization of tree-shaped data structures. This standard is used for data storage, data transmission or in Web Services. It is employed in a large number of major web- based applications, ranging from business communications, e-commerce, cloud computing, and financial services over healthcare applications to governmental and military infrastructures. In order to secure sensitive XML data, the W3C standardization group has specified application of cryptographic primitives in XML documents. The resulted standards have become XML Signature and XML Encryption. They allow to ensure basic security properties -- integrity, authenticity, and confidentiality -- of arbitrary XML data. In this work, we present two practical attacks on XML-based SOAP Web Services interfaces breaking these security properties in the exchanged XML documents.

First, we present XML Signature wrapping attacks. Using these techniques, the attacker who is in possession of a validly signed SOAP message can execute arbitrary functions on the Web Service interface on behalf of the message signer. We demonstrate practical impacts of this attack by its application on Web Service interfaces of two major cloud systems: Amazon and Eucalyptus.

Second, we describe a practical attack on XML Encryption, which allows to decrypt a ciphertext by sending related ciphertexts to a Web Service and evaluating the server response. We show that an adversary can decrypt a ciphertext by performing only 14 requests per plaintext byte on average. This poses a serious and truly practical security threat on all currently used implementations of XML Encryption.

Invited Talk: Thomas Roessler (W3C) — Von Webseiten zu verteilten Cloud-Anwendungen: Entwicklungen in der Web-Sicherheit
HTML5 verändert die Landschaft, in der Webapplikationen entwickelt werden. Das Web wird zu einer Infrastruktur, mit deren Hilfe interaktive Cloud-Applikationen mit komplexen, verteilten und abhängigen browserseitigen Komponenten entwickelt werden. Als Konsequenz verschieben sich unsere Konzepte von Web-Sicherheit und die Rollen, die Webserver und Browser in diesen Konzepten spielen. Der Vortrag wird einen Überblick aktueller und kommender Technologien im Web liefern und eine Vorschau auf neue Sicherheits-Technologien wie Content Security Policy bieten.

= Infos fuer Sponsoren =

Infos für Sponsoren
Als Sponsor des German OWASP Day 2011 setzen Sie ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

Dieses Jahr findet die deutsche OWASP-Konferenz in München statt. Im Rahmen einer konferenzbegleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Wir erwarten zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- und Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des “Gold-, Silber oder Bronze-Sponsorings” (Logo- oder Roll-Up). Ihr Logo mit Link ist in jedem Fall bei uns auf der Landing Page.

Mehr Infos zum Sponsoring sind [[Media:OWASP_D_2011_SponsorenInfo_GHE_2011_06_11_version1_0x.pdf|diesem PDF]] zu entnehmen.

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

= Kontakt =

Kontakt
[mailto:orga2011@owasp.de orga2011@owasp.de]

Unseren Pressekontakt finden Sie auf dieser Seite.

= Medienpartner =

Medienpartner
= English Version =

Welcome
The German section of the Open Web Application Security Project (OWASP) conducted the 4th German OWASP Day. The conference took place on November 17, 2011 in Munich. The German OWASP Day is primarily oriented towards a German speaking audience but presentations in English are also welcome. The 4th OWASP German Day in 2011 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications. No marketing talks please.

Opinions from Participants
"It was very interesting and relevant. Great opportunity for socialzing"

"My expectations were more than fulfilled"

"Great benefit, competent speakers, networking, building of a continuous exchange of experiences"

"Simply great!"

"The pre-event dinner was fantastic"

When

 * Pre-event Dinner: Wendsday, 16'th November 2011
 * Conference: Donnerstag, den 17'th November 2011

Venue
The conference will be located at NH-Hotel München Dornach.

Pre-event Dinner
Map und Streetview
 * when: Wendsday, 16'th November 2011
 * where: Augustiner Bräustuben, Landsberger Str. 19, 80339 München
 * S-Bahn Journey Planner: from Hauptbahnhof S1, S2, S3, S4, S6, S7, S8 to Hackerbrücke, 5 minutes walk

Organisation

 * Birgit Bernskötter (Extern)
 * Georg Hess (Chapter Leader)
 * Bruce Sams (Board Member)
 * Tobias Glemser (Board Member)
 * Achim Hoffmann (Board Member)
 * Ulrike Petersen (Board Member)

Call for Presentations / Speaker Agreement
CfP is closed.

To submit a proposal, please submit online an abstract of the presentation (500 to 4000 chararters) and a brief biography (150 to 800 characters). Please also state the desired length: 25 or 40 minutes (excl. 5 minutes for discussion). You can also attach a preliminary version of your presentation. (Please watch out for mistakes as we take your abstract and publish this 1:1 into our program).

We are interested in all topics related to Web Application Security and OWASP, in particular:


 * Technical presentations related to operations
 * Frameworks and best practices for secure development
 * Cloud Security
 * Privacy in Web Applications
 * Secure Development Lifecycle
 * Metrics for application security
 * Security awareness programs for developers, testers, architects and project owners
 * Security management for applications in the corporate environment
 * Application security for Outsourcing and Offshoring projekts
 * Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
 * OWASP in your workplace, university, etc.

Depending on the number of submissions we will offer either one or two tracks. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license. Therefore all speakers must accept and sign the OWASP Speaker Agreement without changes prior to the conference. It requires that you use one of the following templates: [[Media:OWASP_Presentation_template.ppt|PPT]], [[Media:OWASP_Presentation_template.pptx|PPTX]], [[Media:OWASP_Presentation_template.odp|ODF/OpenOffice]].

Unfortunately we can't cover any travel expenses or costs for accomodations.

'''Participants and speakers are all warmly invited to attend the evening program on the 16th of November 2011. '''

Program Committee

 * Bruce Sams
 * Martin Johns
 * Kai Jendrian
 * Boris Hemkemeier
 * Dirk Wetter

Dates

 * Submissions no later than September 9, 2011 only online via Easychair.
 * Please read and follow the requirements above: Abstract, bio, length and maybe slides!
 * Notification of acceptance by September 16, 2011
 * Program to be online: September 20, 2011
 * Prefinal submission of the slides by October 20, 2011
 * Conference: November 17, 2011

Registration Fees

 * Non-Member = 279,00 EUR + 19% VAT
 * Non-Member (Early Bird) = 219,00 EUR + 19% VAT (*)
 * OWASP Member = 219,00 EUR + 19% VAT
 * OWASP Member (Early Bird) = 189,00 EUR + 19% VAT (*)
 * Students = 59 EUR + 19% VAT (**)

(*) Early-Bird registration was open 'til 10.10.2011

(**) Proper proof of student status is required on site.

Registration
Registration is open, please visit [https://www.optimabit.com/owasp/ 4. German OWASP Day Registration ].

Contact
[mailto:orga2011@owasp.de orga2011@owasp.de]

= Archive =

Eintrittspreise
Für den 4. OWASP German Day 2011 gelten die folgenden Preise:


 * normaler Teilnehmer (Early Bird) = 219,00 EUR + gesetzl. MwSt (*)
 * normaler Teilnehmer = 279,00 EUR + gesetzl. MwSt = 332,01 EUR
 * OWASP-Mitglied (Early Bird) = 189,00 EUR + gesetzl. MwSt (*)
 * OWASP-Mitglied = 219,00 EUR + gesetzl. MwSt = 260,61 EUR
 * Studenten = 59 EUR + gesetzl. MwSt = 70,21 EUR (**)

(*) Eine Registrierung zu Early-Bird-Preisen war bis zum 9.10.2011 möglich

(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen.

Anmeldung
Bitte melden Sie sich für die Konferenz und die Vorabendveranstaltung auf der Anmeldungseite an.

= CfP =

CfP und Speaker Agreement
Der CfP ist geschlossen

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zum vierten Mal eine deutsche OWASP-Konferenz aus: den 4. German OWASP Day. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum. Die Konferenzsprache ist Deutsch, Vorträge in Englisch sind auch willkommen. Der OWASP German Day 2011 ist eine klassische technologieorientierte Security-Konferenz, die Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bietet. Auch fachübergreifende, nicht-technische Themen sind willkommen, bitte keine Marketingvorträge.

Einreichungen von Vorträgen
Für Vortragsvorschläge bitten wir um eine Kurzzusammenfassung oder eine Vorabversion des Vortrags. Die Zusammenfassung sollte nicht weniger als 500 (maximal: 4000) Zeichen lang sein, damit das Programmkomitee eine gute Entscheidungsgrundlage hat. (Bitte auf Orthographie achten, da die Zusammenfassung so wie sie ist ggf. im Programm erscheint). Die gilt ebenso für die obligatorische Kurzbiographie (150-800 Zeichen). Präsentationen können 25 oder 40 Minuten dauern (exklusive 5 Minuten Diskussion), bitte Wunschlänge vermerken.

Erwünscht sind alle Themen mit Bezug zu Webapplikationssicherheit und OWASP, insbesondere:


 * Praxisrelevante technische Vorträge
 * Sichere Entwicklungs-Frameworks und Best Practices
 * Sichere Webanwendungen in der Cloud
 * Secure Development Lifecycle
 * Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
 * Security-Management von Anwendungen im Unternehmen
 * Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
 * Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
 * OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
 * Anwendungssicherheit und Metriken
 * Datenschutz bei Webanwendungen

Abhängig von der Anzahl eingehender Vorträge bieten wir ein oder zwei Tracks an. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Folien der Vorträge werden unter der freien OWASP Lizenz auf der Konferenzwebseite veröffentlicht. Daher muss bei Annahme des Beitrags durch das Programmkomitee das OWASP Speaker Agreement ohne Änderung akzeptiert und unterschrieben werden. Das Speaker Agreements sieht vor, dass die Standardfoliensätze von OWASP verwendet werden ([[Media:OWASP_Presentation_template.ppt|PPT]], [[Media:OWASP_Presentation_template.pptx|PPTX]], [[Media:OWASP_Presentation_template.odp|ODF/OpenOffice]]).

Kosten (für Reise und Unterkunft) können wir leider nicht übernehmen.

Alle Teilnehmer sowie Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 16.11.2011.

Programmkomitee

 * Bruce Sams
 * Martin Johns
 * Kai Jendrian
 * Boris Hemkemeier
 * Dirk Wetter (koordinierend)

Termine

 * Einreichungen bis 09.09.2011 ausschließlich online über https://www.easychair.org/conferences/?conf=owaspger11.
 * Bitte geben sie alle vortragsrelevanten Informationen an (siehe Call for Presentations oben): Abstract, Bio, Länge, ggf. Foliensätze
 * Benachrichtigung der Vortragenden: 16.09.2011
 * Programm online: 20.9.2011
 * Einreichung der Foliensätze (prefinal): 20.10.2011
 * Konferenz: 17.11.2011