Poland

Welcome
=Current events=

18. January 2012
We're meeting in Krakow on 18. January 2012 in Krakow Technology Park (Czyżyny) (Al. Jana Pawła II 41 L) at 6pm, conference hall on 3rd floor. This meeting is organized jointly by ISSA Poland. Please confirm Your attendance here.

Agenda:

 * OWASP news.
 * No Man's Land - Vulnerabilities in J2EE frameworks and libraries. - Sławomir Jasek, SecuRing.
 * Defending ASP.Net apps against XSS. - Mateusz Olejarka, VSoft.
 * Common weaknesses of Ruby on Rails applications. - Paweł Krawczyk, AON.

Ziemia niczyja - czyli podatności we frameworkach i bibliotekach J2EE.
Sławomir Jasek (SecuRing)

Podatności obecne w aplikacjach mogą wynikać z błędów popełnionych przez programistów, ale także ze słabości istniejących w zastosowanych frameworkach i bibliotekach.

Z mojego doświadczenia wynika, że ten drugi aspekt jest często pomijany przy projektowaniu bezpieczeństwa aplikacji a także w trakcie utrzymania aplikacji (uaktualniane jest oprogramowanie serwerowe ale nie biblioteki wchodzące w skład aplikacji).

Prezentacja ma na celu naświetlenie tego problemu przez pokazanie przykładów ciekawych, a jednocześnie łatwych do przeoczenia podatności, występujących w popularnych bibliotekach/frameworkach J2EE takich jak Struts, Spring MVC.

Obrona aplikacji webowej ASP.Net: XSS
Mateusz Olejarka (VSoft)

Prezentacja ma celu zarysować dość szeroką tematykę zwiazaną z XSS'em. Na początku pojawi się kilka pojęć i faktów dotyczących XSS, w głównej części omówimy

sobie możliwości jakie mamy, aby zabezpieczyć naszą aplikację, m.in: mechanizm Request Validation, HttpUtility, AntiXSS.

Popularne błędy w aplikacjach Ruby on Rails
Paweł Krawczyk (AON)

Ruby on Rails uchodzi za framework ułatwiający pisanie bezpiecznych aplikacji - i takim jest w istocie.

Nie znaczy to jednak, że samo RoR w magiczny sposób naprawi dziury wynikające z braku dbałości o bezpieczeństwo.

W prezentacji pokażę typowe błędy popełniane przez programistów RoR oraz narzędzia, które umożliwiają wyłapanie większości z nich w półautomatyczny sposób.

SEMAFOR 2012
We have the pleasure to inform You that on February 23-24, 2012, the SEMAFOR (Security, Management, Audit Forum) conference will take place in Warsaw. The conference is held by ISSA Poland, ISACA Warsaw Chapter and the Computerworld with active support of OWASP Poland. OWASP members have 10% of discount for this event.

For more information about SEMAFOR 2012, please visit: https://issa.org.pl/semafor-2012.html

=Partners=

Meeting(s):

Audio-Video (live stream) staff:

Sponsor of OWASP Krakow meetings:

= Past Events =

15. December 2011
Zaproszenie na kolejne spotkanie OWASP w Warszawie / Invitation for the next OWASP meeting in Warsaw

Tym razem prezentacje beda w języku angielskim / This time the presentations will be in English

Data i miejsce spotkania / Date and place of the meeting:

15 grudzien 2011 / 15 December 2011 Ernst & Young Rondo ONZ 1, Warszawa Sala: 14-40 (piętro 14) 18:00-20:00

Prosba o potwierdzenie uczestnictwa do: Michal.Kurek@owasp.org / Please confirm your attendance to: Michal.Kurek@owasp.org

Agenda:


 * 18:00 - 18:15 - Otwarcie spotkania, aktualnosci OWASP Polska / Meeting Opening, OWASP Poland News
 * 18:15 - 19:00 - "The agile approach to PCI DSS implementation in SDLC area" - Jakub Syta, IMMUSEC
 * 19:00 - 19:45 - "Ground BeEF: Cutting, devouring and digesting the legs off a browser" - Michele Orru' a.k.a. antisnatchor, Royal Bank of Scotland
 * 19:45 - 20:00 - Kwestie dodatkowe, zamkniecie spotkania / Additional Topics, Meeting Closure

Więcej informacji o prelegentach / More information about the presenters: Jakub Syta, IMMUSEC Ekspert w zarzadzaniu bezpieczenstwem informacji i ciagloscia dzialania, zdobyl doswiadczenie w szeregu zagadnien z zakresu ochrony fizycznej oraz przeciwdzialania naduzyciom. Ostatnie lata spedzil kierujac dzialem bezpieczenstwa w jednym z najwiekszych swiatowych bankow bedac odpowiedzialnym za dostarczanie uslug bezpieczenstwa dla kilku krajow. Od 2010 jest wspolnikiem w spolce doradczej IMMUSEC. Prelegent na krajowych i miedzynarodowych konferencjach, doswiadczony wykladowca. Ekspert w Podkomitecie ds. ISMS przy KT 182 w Polskim Komitecie Normalizacyjnym, byly czlonek zarzadu ISACA Polska, doktorant na Wydziale Zarzadzania Politechniki Warszawskiej. Jest audytorem wiodacym ISO 27001 i ISO 9001, legitymuje sie certyfikatami takimi jak CISA, CISSP, CRICS, ITIL Foundation.

Michele Orru', Royal Bank of Scotland Michele Orru' a.k.a. antisnatchor is an IT and ITalian security guy who works as a Penetration Tester for The Royal Bank of Scotland Group in Warsaw, Poland. He mainly focus his research on web application security. Besides his nasty passion about black, gray, white hat hacking and BeEF (being an active committer since the Ruby port started), he enjoys to leave alone his Mac while fishing on salted water and preys for Kubrick resurrection.

23. November 2011 - Cracow
We're meeting in Krakow on 23. November 2011 in Krakow Technology Park (Czyżyny) (Al. Jana Pawła II 41 L) at 6pm, conference hall on 3rd floor. This meeting is organized jointly by ISSA Poland.

Agenda:
 * [[Media:OWASP_News_20111123.pdf| OWASP News]]
 * Selected vulnerabilities in web management consoles of network devices - Michał Sajdak, Securitum
 * [[Media:OWASP_ESAPI_and_AppSensor_-_intro.pdf |Groundbreaking OWASP tools for developers. Brief introduction to OWASP ESAPI and AppSensor]]- Wojciech Dworakowski, SecuRing
 * CouchDB security - Paweł Krawczyk

Meeting supporter for this event is, which will provide delicious cupcakes and coffee :).

3 rd SASMA & LIQUIDNEXXUS Business Security Conference
On 17. November 2011- Warsaw during 3 rd SASMA & LIQUIDNEXXUS Business Security Conference Mateusz Olejarka will be speaking about Application Security Threats and OWASP TOP 10.

More details here.

OWASP & ISACA Katowice Chapter-in-formation
On 20. October in Cracow University of Economics during ISACA Katowice Chapter-in-formation meeting Wojciech Dworakowski will be speaking about OWASP and Web Application Security. More information: http://isaca.katowice.pl/spotkania.html

OWASP Poland Partnership during Secure 2011
Secure 2011 is international conference on telecommunications and IT security organized by CERT Poland on 24-26 October 2011 in Warsaw.

More information: http://secure.edu.pl/

27. September 2011 - Warsaw
We're meeting in Warsaw on 27. September 2011 in Ernst & Young (Rondo ONZ 1, Warszawa, room 14-40, floor 14). Please confirm your attendance by sending email to Michal.Kurek@owasp.org as amount of places is limited. Agenda:


 * 18:00 - 18:15 - Otwarcie spotkania, aktualności OWASP Polska


 * 18:15 - 19:00 - "Bezpieczeństwo aplikacji mobilnych" - Aleksander Ludynia, Ernst & Young"Aleksander jest Konsultantem w Dziale Zarządzania Ryzykiem Informatycznym w Ernst & Young odpowiedzialnym za realizację projektów związanych z bezpieczeństwem systemów informatycznych. Specjalizuje się w testach penetracyjnych aplikacji internetowych oraz przeglądach bezpieczeństwa. Abstrakt: Skala i charakter wykorzystania aplikacji mobilnych zmieniają się w bardzo dynamicznym tempie. Równolegle rozwija się działalność przestępców komputerowych, prowadzących różnego rodzaju ataki, których celem są urządzenia przenośne. Podczas prezentacji zostanie omówiona sytuacja na rynku aplikacji mobilnych, a także zagrożenia związane z ich wykorzystaniem. Ponadto, omówione zostaną podstawowe techniki wykorzystywane podczas testów penetracyjnych tego typu aplikacji. Prezentacja będzie wstępem do szerszej dyskusji dotyczącej zagadnieńzwiązanych z bezpieczeństwem aplikacji mobilnych."


 * 19:00 - 19:45 - "Zarządzanie sesją w aplikacjach internetowych" - Sławomir Rozbicki, PKO BP"Sławek jest specjalistą w zespole Bezpieczeństwa Internetowego i Telekomunikacyjnego Banku PKO BP. Do jego obowiązków należy głównie wykonywanie testów penetracyjnych aplikacji internetowych, infrastruktury teleinformatycznej oraz bieżący monitoring incydentów bezpieczeństwa. Abstrakt: Mechanizmy zarządzania sesją aplikacji internetowych mają znaczący wpływ na ich bezpieczeństwo. Pomimo to niedocenianie ryzyka związanego z ich nieprawidłową implementacją wydaje się być częstą praktyką. Zawarte w prezentacji materiały mają za zadanie zwrócić uwagę na podstawowe wektory ataku oraz ułatwić ocenę podatności poszczególnych elementów sesji na ataki. Przedstawione przykłady pokazują jak nawet najsilniejsze mechanizmy uwierzytelnienia mogą zostać ominięte, w przypadku wykorzystania słabości związanych z nieprawidłową obsługą sesji."


 * 19:45 - 20:00 - Kwestie dodatkowe, zamknięcie spotkania


 * Download :
 * [[Media:OWASP_News_20110927.pdf | OWASP News]]
 * [[Media:OWASP 2011 - Aleksander Ludynia - Bezpieczenstwo aplikacji mobilnych.pdf | Aleksander Ludynia - Bezpieczenstwo aplikacji mobilnych]]
 * [[Media:OWASP 2011 - Slawomir Rozbicki - Session Managemnt.pdf | Slawomir Rozbicki - Session Management]]

14. September 2011 - Krakow
We're meeting in Krakow on 14. September 2011 in Krakow Technology Park (Czyżyny) (Al. Jana Pawła II 41 L) at 6pm, conference hall on 3rd floor. Note '''date change to 14. September''' (previously announced date was 13. September).

Google Maps link.

Agenda:

Inteligentne systemy, analizujące i dopasowujące się do wzorców zachowań użytkowników zdobywają kolejne pola zastosowań. W trakcie wykładu zostanie zaprezentowane wykorzystanie takich metod do tworzenia samo-uczącego się firewalla aplikacyjnego (ang. Learning Web Application Firewall). LWAF potrafi (na podstawie analizy ruchu) stworzyć oczekiwane wzorce przychodzących danych - a co za tym idzie, zidentyfikować nietypowe zachowania użytkowników - i ochronić w ten sposób aplikację przed próbami ataku. Wyniki działania takiego firewall-a, a także podstawowa analiza teoretyczna zostanie zaprezentowana na bazie przygotowanej przez autorów implementacji tej techniki w formie modułu do serwera Apache. Download paper: Learning Web Application Firewall - Beneﬁts and Caveats, slides: Intelligent systems that process and analyze patterns in human behavior have been gaining traction in various fields of use. During the lecture, we will present a Learning Application Firewall (LWAF) which utilizes such methods to analyze the traffic patterns, constructs expected data patterns and can protect the application from harmful attack attempts. Resluts from experiments, as well as theoretical background will be presented based on the reference implementation of the LWAF as Apache module, prepared by the authors
 * OWASP news
 * Uczący się firewall webowy - nowy polski projekt (Marek Zachara, AGH). Streszczenie:

HTML5 to ulubieniec współczesnych przeglądarek i webdeveloperów, ale może zostać również wykorzystany w złych celach. Przedstawimy najnowsze metody ataków na aplikacje internetowe z wykorzystaniem HTML5 oraz różnych technik UI redressing, a także sposoby ukrycia ataku w mechanizmach gry online. Zobaczycie demonstracje rzeczywistych ataków na popularne serwisy internetowe z wykorzystaniem opisanych metod. Download:
 * HTML5 - Something wicked this way comes (Krzysztof Kotowicz, SecuRing) Streszczenie:

HTML5 is a favorite of modern browsers and web developers. Likewise, it can used for evil purposes. We will cover new attacks on web applications, which use HTML5 and UI redressing techniques and ways to cover it up in an online game logic. We shall see the demos of real attacks on popular web sites which includes described methods.

Generally - all lectures are in Polish. If you would like to attend and do not know Polish, please contact meeting coordinator.

This meeting is organized jointly by ISSA Poland. Questions or issues? Contact meeting coordinator Wojtek Dworakowski +48-506-184550.

If you would like to make a presentation, or have any questions about the Poland Chapter, send an email to Chapter Leader or any Chapter Board member.

30. June 2011 - Warsaw, ISSA InfoTRAMS
All OWASP Poland, ISSA Poland and CISSP holders are entitled to free entry to InfoTRAMS conference that will be held at TPSA conference venue Twarda street 18 in Warsaw.

23. May 2011 - Krakow
23. May 2011 in Krakow Technology Park (Czyżyny) at 6pm, conference hall on 3rd floor.

Two research topics were presented (both in Polish):


 * OWASP news, KPT introduction
 * Minerva - automatic vulnerability scanning (Mateusz Kocielski)
 * Why care about application security? (Paweł Krawczyk)

OWASP Partnership during CONFidence 2011
CONFidence is an annual IT security conference that will take place on 24-25th May, 2011 in Krakow, Poland for the 9th time!

More information: http://2011.confidence.org.pl/

OWASP Partnership during Banking Forum 11-12th May 2011
Banking Forum is a major event organized for managers of polish financial institutions.

OWASP Poland Chapter was Partnership of this event and our representatives took part in panel discussions about security of financial applications and security in software development lifecycle.

On 24th March 2011 - Krakow
6:15pm - 6:30pm ... "OWASP News" - Przemyslaw Skowron, OWASP Leader 6:30pm - 7:00pm ... "Source Code Scanners" - Pawel Krawczyk http://www.slideshare.net/kravietz/source-code-scanners 7:00pm - 8:00pm ... "Penetration testing - panel discussion"

On 27th January 2011 - Warsaw
6:00pm - 6:40pm ... "OWASP News" - Przemyslaw Skowron, OWASP Leader 6:45pm - 7:20pm ... [[Media:OWASP_2011_-_Michał_Kurek_-_Cross-Site_Scripting.pdf|"Cross-Site Scripting"]] - Michal Kurek, Ernst&Young 7:25pm - 8:00pm ... "Phishing" - Tomasz Sawiak, Safe Computing

On 20th January 2011 - Krakow
6:15pm - 6:25pm ... "OWASP News" - Przemysław Skowron, OWASP Leader 6:30pm - 7:10pm ... "Advanced Data mining" - Jakub Kaluzny 7:15pm - 8:00pm ... "OWASP ASVS - panel discussion" - Wojciech Dworakowski, Securing

OWASP Partnership during seminar InfoTRAMS - Privacy at work
9th of December 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.

More information: http://issa.org.pl/2010-12-09/prywatno%C5%9B%C4%87-w-pracy-infotrams-warszawa.html

OWASP Poland Partnership during Secure 2010
25-27th of October 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.



More information: http://secure.edu.pl/

OWASP Partnership during seminar InfoTRAMS - Cloud computing
30th of June 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.

More information: http://www.issa.org.pl/content/view/129/1/

On 10th June 2010
6:00pm - 6:15pm ... "OWASP News" - Przemyslaw Skowron /PL/ - [[Media:OWASP_20100610_PSkowron_OWASP_News.pdf | Slides]] 6:15pm - 7:10pm ... "Creating, obfuscating and analysis of JavaScript-based malware." - Krzysztof Kotowicz /PL/ - [[Media:OWASP_20100610_KKotowicz_Analysis_of_Javascript-based_malware.pdf | Slides]] | Video 7:15pm - 8:00pm ... "Network Forensic: what captured packets say" - Paweł Goleń /PL/ - [[Media:OWASP_20100610_PGolen_Network_Forensic.pdf | Slides]] | Video

OWASP Partnership during KrakSpot Tech #1
8th of June 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership.

More information: http://krakspot.pl/2010/05/29/krakspot-tech-agenda/

OWASP Partnership during CONFidence 2010
25-26th of May 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership.

More information: http://2010.confidence.org.pl/

On 13th May 2010
6:05pm - 7:00pm ... "Drive-by download attacks" - Filip Palian /PL/ - [[Media:OWASP_20100513_FPalian_Drive-by_download.ppt | Slides]] | Video 7:05pm - 7:50pm ... "Detection and analysis of malicious web sites" - Łukasz Juszczyk /PL/ - [[Media:OWASP_20100513_LJuszczyk_Detection_and_analysis_malicious.pdf | Slides]] | [[Media:OWASP_20100513_LJuszczyk_m.pdf | Extra#1]] | [[Media:OWASP_20100513_LJuszczyk_jsunpack.pdf | Extra#2]] | Video

OWASP Partnership during SEConference 2010
9-10th of April 2010 there will be interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership.

During meetings there will be a few talks dedicated the OWASP Projects. More information: http://www.2k10.seconference.pl/docs/

On 17th March 2010
6.10pm - 6.50pm ... "Workshop: CISSP - Telecommunications and Network Security" - Julia Juraszek, ISSA Polska, Polkomtel S.A. 7.00pm - 7.40pm ... "OWASP - Incident handling: Web Application Attacks" - Przemyslaw Skowron, OWASP Poland /PL/ - [[Media:OWASP_20100317-PSkowron-Incident_Handling.pdf | Slides]]

On 10th March 2010
5:00pm - 5:05pm ... "OWASP News" - Przemyslaw Skowron /PL/ - [[Media:OWASP_20100310-PSkowron-OWASP_News.ppt | Slides]] 5:05pm - 6:10pm ... "SQL Injection: complete walktrough (not only) for PHP developers" - Krzysztof Kotowicz /PL/ - [[Media:OWASP_20100310_KKotowicz_SQL_Injection.ppt | Slides]] | Video 6:15pm - 7:20pm ... "Secure PHP framework" - Łukasz Pilorz /PL/ - [[Media:OWASP_20100310_LPilorz_Secure_PHP_Framework.pdf | Slides]] | Video

OWASP Poland Partnership during SEMAFOR 2010
26-27th of January 2010 there will be interesting meetings in Warsaw where OWASP Poland Chapter decided to be Partnership.



During meetings there will be a few talks dedicated the OWASP Projects. More information: http://konferencje.computerworld.pl/konferencje/semafor2010/zagadnienia.html

On 14th January 2010
6:20pm - 6:30pm ... "OWASP News" - Przemyslaw Skowron 6:30pm - 7:15pm ... "Fuzzing" - Piotr Laskawiec /PL/ - [[Media:OWASP_20100114_PLaskawiec_Fuzzing.pdf | Slides]], /EN/ - [[Media:OWASP_20100114_PLaskawiec_Fuzzing-en.pdf | Slides]] 7:15pm - 8:00pm ... "Security in Software Development Life Cycle" - Wojtek Dworakowski /PL/ - [[Media:OWASP_20100114_WDworakowski_Security_in_SDLC.pptx‎ | Slides]]

On 10th December 2009
6:30pm - 6:45pm ... "OWASP News" - Andrzej Targosz, Przemyslaw Skowron 6:50pm - 7:25pm ... "OWASP Top 10 2010" - Przemyslaw Skowron /PL/ - OWASP_Top10_2010-RC1-PL by Michał Wiczyński 7:30pm - 8:10pm ... "Real Life Information Security" - Pawel Krawczyk /EN/ - [[Media:OWASP_20091217_PKrawczyk_Real_World_Security.ppt‎ | Slides]]

On 12th February 2009
6:00pm - 6:30pm ... "OWASP News" - Andrzej Targosz 6:30pm - 7:30pm ... "Blind SQL Injections" - Jacek Wlodarczyk /PL/ - [[Media:OWASP_20090212_JW_Blind_SQLi.ppt | Slides]] 7:30pm - 9:30pm ... OWASP UNConference

On 11th December 2008
6:00pm - 7:00pm ... "Hack tool Firefox" - Filip Palian 7:00pm - 8:15pm ... "OWASP where we were, where we are now, and where we are going..." - Andrzej Targosz

On 23th October 2008
6:15pm - 7:10pm ... "Wargame @ Confidence/OWASP EU 2008 vs. OWASP Testing Guide" - Przemysław Skowron /PL/ - [[Media:OWASP_20081023-prezentacja.pdf | Slides]], [[Media:OWASP_20081023-mind_mapa.pdf | MindMap]] 7:15pm - 8:10pm ... "Intrusion detection for web applications" - Łukasz Pilorz /EN/ - [[Media:OWASP_WebIDS_pub.pdf | Slides]] 8:15pm - 9:10pm ... "Session management for Web Application" - Paweł Goleń /PL/ - [[Media:Owasp_prezentacja.pdf | Slides]]

On 25th April 2008
5:15pm - 5:30pm ... "OWASP News" - Andrzej Targosz 5:30pm - 5:45pm ... "Short introduction to WarGame - CONFidence & OWASP EU" - Przemyslaw 'rezos' Skowron 5:45pm - 6:45pm ... "Introduction to Web Applications Security" - Filip Palian

OWASP Partnership during QAFA and TMS
7-8th of April 2008 there will be two interesting meetings in Krakow where OWASP Poland Chapter decided to be Partnership: - TMS - "Test Management Summit" - QAFA - "Quality for Financial Applications" During meetings there will be special talk about OWASP Testing metodology. http://www.bettersoftware.eu/archive/QAFA-TMS/

On 06th September 2007
6:00pm - 7:00pm ... "OWASP" - Robert 'shadow' Pajak 7:00pm - 8:00pm ... "OWASP SPoC" - Przemyslaw 'rezos' Skowron 8:00pm - 9:00pm ... "Penetration tests OWASP in practice" - Jarek Sajko

Presentation

 * Presentation: OWASP Intro By Robert 'Shadow' Pajak - [[Media:OWASP_about.pdf | Slides]]
 * Presentation: OWASP SPoC By Przemyslaw 'rezos' Skowron - [[Media:OWASP_Day_Poland_rezos.pdf | Slides]]
 * Presentation: Penetration tests OWASP in practice By Jarek Sajko - [[Media:OWASP_practice.pdf | Slides]]

On 19th April 2007
5:30pm - 6:30pm ... "Application security testing - attack trends" - Przemyslaw Skowron 6:30pm - 7:30pm ... Auditor work standards 7:30pm - 7:45pm ... OWASP Inauguration

You could join free, registration not required. Please invite all friends interested in security.