German OWASP Day 2012/Programm

Bereits bestätigte Vorträge des German OWASP Day 2012

OWASP Introduction: Jim Manico, co-presented by Jerry Hoff
What's new in OWASP and why OWASP is interesting also for you or your company.

[Keynote] Dr. Mario Heiderich: Security-Ausbildung in einem Grossunternehmen der Softwareindustrie - Erfahrungen und Herausforderungen
Obwohl eine Vielzahl potentieller Web-Application-Schwachstellen durch geeignete Technologie-Frameworks adressiert werden können, ist eine fundierte Ausbildung der Software-Entwickler im Bereich der IT-Sicherheit immer noch die wichtigste Grundlage für die Entwicklung sicherer Software und Systeme. Die Industrie kann sich dabei nicht auf die universitäre Ausbildung verlassen, da Security-Themen noch nicht durchgänging Eingang in die Curricula gefunden haben oder die Ausbildungsinhalte wenig pragmatische Hilfestellung für die tägliche Entwicklungsarbeit bieten.

SAP hat sich daher entschieden, eigene Trainingskonzepte und -inhalte zu erstellen und systematisch an die globale Entwickler-Community auszurollen. Im Laufe des Jahres 2011 wurden mehr als 16000 Mitarbeiter in entwicklungsbezogenen Rollen (Software-Entwickler, Architekten, Produktmanager) zu Themen der sicheren Programmierung ausgebildet. Wir berichten in diesem Beitrag über die Herausforderungen und Erfahrungen, die sich bei einer solch grossen Zielgruppe mit unterschiedlichen Erfahrungshorizonten ergeben haben. Eine besondere Bedeutung kommt der Nachhaltigkeit der Ausbildung zu, weshalb SAP grosse Aufmerksamkeit auf systematische Aktualisierung der Inhalte und die Motivation für Folge- und Wiederholungstrainings unter Verwendung moderner interaktiver Lernformen und Gamification legt.

Simon Bennetts: OWASP Zed Attack Proxy
The OWASP Zed Attack Proxy (ZAP) is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications. It is a community project, being maintained by a worldwide group of volunteers and is completely free, open source and cross platform. Since its release in 2010 ZAP has gone from strength to strength and is now a flagship OWASP project.

Simon (the ZAP project lead) will:


 * Introduce ZAP to those who have not encountered it before
 * Detail the new features in the most recent releases
 * Explain the 3 ZAP related Google Summer of Code projects
 * Talk about the future plans

Dr. Mario Heiderich: XSS von 1999 bis 2013 - Die Doctrine Classique der Websicherheit
Cross-Site Scripting Angriffe wurden erstmals vor circa 14 Jahren dokumentiert. Seitdem hat diese Angriffstechnik eine Evolution durchzogen, die klassischen Dramentheorie ähnelt - inklusive Katastase, Heldentum und Peripetie.

Nun hält HTML Einzug in die Welt der Betriebssysteme, und das Drama XSS befindet sich an der Baumgrenze zur Katastrophe - der harmlose "Alert" hat sich zum schwarzen Schwan beliebiger Code-Ausführung im Betriebssystem gewandelt.

Dieser Vortrag zeigt die Evolution der Angriffstechnik XSS, untersucht unser aller Fehler in der bisherig angewandten Bekämpfung, bietet konsequente Ausblicke und schließt mit Denkanstößen für das Jahr 2013 und fortfolgend.

Jim Manico: Top Ten Web Defenses
We cannot hack or firewall our way secure. Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape. This talk will discuss the 10 most important security-centric computer programming techniques necessary to build low-risk web-based applications. This talk is best suited for technical web application development professionals at any stage of the software development lifecycle.

Simon Bennetts
(a.k.a. Psiinon) has been developing web applications since 1997, and strongly believes that you cannot build secure web applications without knowing how to attack them. He works for Mozilla as part of their Security Team.

Some of the projects Simon works on: 'Penetration Testing for Developers' blog author
 * OWASP Zed Attack Proxy project lead
 * OWASP Data Exchange Format project lead
 * Bodge It Store project lead
 * OWASP AppSensor contributor
 * wavsep contributor

He is also one of the chapter leaders for the OWASP Manchester chapter.

Simon has a B.Sc in Computing and Information Systems from Manchester University.

Dr. Mario Heiderich
arbeitet als Forscher für die Ruhr-Universität in Bochum, findet Lücken im IE und anderen Tools für Microsoft in Redmond und arbeitet im wesentlichen im Bereich HTML5- und SVG- und Browser-Sicherheit.

Mario glaubt allen ernstes, man könne XSS mittels JavaScript verhindern und besiegen, schrieb darüber eine Dissertation und hat auch sonst eher wunderliche Ansichten.

In der verbleibenden Zeit pen-testet und berät Mario diverse DAX-Unternehmen, spricht auf internationalen Konferenzen und hat irrationale Freude am Finden von Bugs und Designfehlern.

Jim Manico
is the VP of Security Architecture for WhiteHat Security. Jim is also the host of the OWASP Podcast Series, is the committee chair of the OWASP Connections Committee, is the project manager of the OWASP Cheatsheet series, and is a significant contributor to several additional OWASP projects. Jim provides secure coding and developer awareness training for WhiteHat Security using his 8+ years of experience delivering developer-training courses for SANS, Aspect Security and others. He brings 16 years of database-driven Web software development and analysis experience to WhiteHat and OWASP as well. Jim works on the beautiful island of Kauai, Hawaii where he lives with his wife Tracey.