OWASP AppSec Germany 2010 Conference

OWASP AppSec Germany 2010
 The CfP is now closed 

++++++++++++++++++++++++++++++++++++++++++++++++

News

Auf mehrfache Anfrage wurde der CfP bis zum 15.August 2010 verlängert!!!

++++++++++++++++++++++++++++++++++++++++++++++++

Langsam wird es zur (erfreulichen) Gewohnheit: Wie die letzten zwei Jahre wird auch dieses Jahr in Deutschland eine OWASP-Konferenz stattfinden.

Konferenzdaten
Die Konferenz findet parallel zur it-sa in Nürnberg statt (http://www.it-sa.de/):

Wo?
CCN Ost CongressCenter

Messezentrum

90471 Nürnberg

Wann?
Vorabendveranstaltung: 19.10.2010

Konferenz: 20.10.2010

Sponsoren
Wir danken unseren Sponsoren:

Organisation

 * Georg Hess (Chapter Leader Germany)
 * Boris Hemkemeier (Board Member)
 * Tobias Glemser (Board Member)
 * Bruce Sams (Board Member)
 * Achim Hoffmann (Board Member)
 * Ulrike Petersen (Board Member)
 * Kai Jendrian (Program Committee)
 * Martin Johns (Program Committee)
 * Dirk Wetter (Program Committee)

Looking forward to see you in Nuremberg!

Agenda / Presentations
Die vorläufige Agende für die OWASP AppSec 2010 steht fest!

Agenda mit Zeitleiste
Die genaue Zeitleiste wird in kürze hier dargestellt.

Matthias Rohr. Der OWASP ASVS Standard
In diesem Vortrag soll der OWASP ASVS Standard vorgestellt werden, der erste offizielle Standard der OWASP. Das primäre Ziel des OWASP ASVS-Projektes ist es, die Durchführung von Sicherheitstests für Webanwendungen mittels eines kommerziell einsetzbaren und offenen Standards zu harmonisieren. Der Standard definiert hierzu insgesamt 121 Anforderungen für die Verifikation der anwendungsseitigen Sicherheit einer Webanwendung, die auf vier Prüfstufen („Level“) abgebildet werden.

Als Beispiel werden in Level 1 Anforderungen für die Durchführung automatisierter Prüfungen auf Basis von Web Scannern oder Sourcecodeanalyse-Tools beschrieben. Für das Erreichen von Level 2 werden Anweisungen auf Basis für Code Reviews und Pentests definiert, usw. Dieser Standard lässt sich für die Beauftragung von Sicherheitstests genauso einsetzen, wie als Metrik zur Abnahme solcher Prüfungen und natürlich auch als Richtlinie für deren Implementierung.

Martin Johns. Revisiting the charts - What can we learn from the "top ten" of new web hacking techniques?
Since 2006, a group of industry experts lead by Jeremiah Grossman [1] is deciding on the yearly top ten of upcoming attack methods in the field of web application security [2] [3] [4] [5]. The data accumulated trough this process is an interesting object to gain insight on general developments in the field of practical web application security research.

This talk:


 * will briefly present and discuss the most current list of hacking techniques and try to assess their real-world impact,
 * set the presented techniques into a broader context together with the compiled list of the former years, concluding trends in offensive, practical web application security research,
 * identify hot topics in this field, and deduct fundamental security short comings of the Web application paradigm based on observations that the accumulated attack data allows.

Whenever applicable, we will attempted to correlate the compiled data with other openly available data sources such as CVE [6] or the Web hacking incidents database [7].

[1] Jeremiah Grossman, CTO of Whitehat Security, http://jeremiahgrossman.blogspot.com

[2] 2009 http://jeremiahgrossman.blogspot.com/2010/01/top-ten-web-hacking-techniques-of-2009.html

[3] 2008 http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

[4] 2007 http://jeremiahgrossman.blogspot.com/2008/01/top-ten-web-hacks-of-2007-official.html

[5] 2006 http://jeremiahgrossman.blogspot.com/2006/12/top-10-web-hacks-of-2006.html

[6] CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/

[7] WASC Web Hacking Incidents Database http://projects.webappsec.org/Web-Hacking-Incident-Database

Alexander Meisel. distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud)
Als Folge der andauernden Virtualisierung von Diensten und Anwendungen wird es zunehmend schwieriger Applikationen 'einfach' gegen Angriffe abzusichern. Da zentrale Firewalls ohnehin schon wenig gegen Angriffe auf Applikationsebene ausrichten können wird es nicht einfacher Applikationen in virtuellen Umgebungen zu schützen.

Vorsorge bei Entwicklung und Deployment helfen bedingt bei Problemen mit der Sicherheit in einer Applikation an sich. Wie allgemein in der OWASP Community bekannt, gibt es nicht immer Zugriff auf den Source-Code und Patchzyklen in professionellen Umgebungen sind selten unter 2 Wochen zu bewerkstelligen. Web Application Firewalls sind durchaus in der Lage Applikationen sicherer zu machen und bei können einige Problem auch ganz beseitigen. Gegen diese scheinbar gute Lösung gibt es aber dennoch Argumente aus dem Lager der Firewall-Verfechter selbst. Firewalls sind meist Hardware, teilweise virtuelle Hardware, können selten geclustert werden und sind recht unflexibel was Performance anbelangt.

Jeder der es bis jetzt, trotz Virtualisierungsprojekt in der eigenen Firma, geschafft hat Netzwerkverkehr durch eine Hardware Firewall oder Web Application Firewall zu leiten wird sicher bei Cloud-Szenarien daran scheitern. Bei Einsatz von Cloud-Technologien (egal ob 'public' oder 'private' Cloud) kann Application-Security nur noch im näheren Umfeld der virtuellen Maschinen oder auf den virtuellen Maschinen selbst umgesetzt werden (gilt nur für IaaS). Das Konzept der distributed Web Application Firewall (kurz dWAF) bietet hier entschiedene Vorteile. Dieser Vortrag erläutert im wesentlichen den Aufbau und die Funktion dieser Technologie. Anhand von Beispielen wird gezeigt wie diese neue Technologie eingesetzt werden kann um einfach und effizient von einer klassisch selbst gehosteten Applikation, über den ersten Schritt Virtualisierung, zu Cloud Szenarien (public, private, hybird, SaaS, PaaS) migrieren kann.

Martin Knobloch. Developing Secure Applications with OWASP
After an introduction about OWASP, Martin will higlight the top projects of OWASP During the presentation Martin does explain how OWASP material can be used to raise awareness about secure appliation development and how OWASP material does fit into a (secure) development lifecycle.

Dirk Dr. Wetter. OWASP Top 10, die Vierte: Was t/nun?
Vor einem halben Jahr ist mit der 2010er Ausgabe die vierte Ausgabe der OWASP Top 10 erschienen. Abgesehen von der verbesserten Struktur des Werkes erscheinen auf den ersten Blick scheinen die Änderungen zu der Vorversion von 2007 nur marginal. Bei näherem Hinschauen jedoch eröffnen sich eine Menge feiner und wichtiger Unterschiede, wie zum Beispiel die Möglichkeit zum Riskomanagement auf technischer und Managementebene.

Der Vortrag wird die Unterschiede der OWASP Top 10 2010 zu den vorangegangen Versionen beleuchten, kritisch einzelne Punkte hinterfragen und mit ähnlichen Werken, die dieses Jahr erschienen sind, vergleichen, wie der WASC Threat Classification und CWE/Sans Top 25.

Sebastian Schinzel. Seitenkanalschwachstellen im Web erkennen und verhindern
Die sichere Entwicklung von Web-Anwendungen ist mittlerweile erschöpfend dokumentiert und es gibt eine Vielzahl von freien Entwicklungsbibliotheken für praktisch jede Sicherheitsfunktionalität. Daher gibt es für Entwickler keine plausiblen Ausreden mehr dafür, Web-Anwendungen mit kritischen Sicherheitsschwachstellen zu entwickeln. Sicherlich gibt es nach wie vor viel zu viele anfällige Web-Anwendungen. Eine zunehmende Zahl von Web-Anwendungen hält Sicherheitsprüfungen jedoch stand und sind somit nicht trivial kompromittierter. Sind die Daten hinter einer Web-Anwendung ohne die gängigen Web-Schwachstellen, z.B. aus der OWASP Top 10, aber wirklich absolut sicher?

Hier kommen Seitenkanalanalysen ins Spiel, die bereits im Bereich der Kryptoanalyse gut erforscht sind. Dabei misst der Angreifer bestimmte Merkmale seines Ziels, die mit bloßem Auge nicht erkennbar sind. Merkmale können z.B. kleine Unterschiede in der Antwortszeit der Web-Anwendung sein, oder auch versteckte Änderungen im Inhalt der Antwort. Korreliert ein Merkmal mit den Daten im Backend, so kann der Angreifer anhand der Merkmale auf die Daten im Backend schließen. Diese Art der Angriffe im Web sind seit einigen Jahren wissenschaftlich dokumentiert, jedoch in der Entwicklergemeinde noch nahezu unbekannt.

In diesem Vortrag zeige ich an konkreten Beispielen, welche Arten von Seitenkanälen in Web-Anwendungen existieren können, wie man Anwendungen auf Seitenkanäle überprüfen kann und - vor allem - wie man Seitenkanäle in Web-Anwendungen verhindern kann.

Andreas Schmidt. WATOBO - Web Application Toolbox
Die manuelle Penetration von Web-Applikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde. Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt.

In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits ‘on the fly’. Dabei werden schon bei der „Begehung“ einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr. Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt.

WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).

Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten. Abgerundet wird die Präsentation durch eine kurze Demonstration.

Frederik Weidemann. Härtung von SAP HTTP- und Web Services
Ausgehend von dem gängigen Szenario, bei dem eine Firma bestehende SAP-Anwendungen in Web Services konvertieren möchte, sollen in dem Vortrag die typischen Risiken bei der Einrichtung von HTTP und Web Services auf dem SAP Web Application Server (SAP WebAS ABAP) aufgezeigt werden. Dabei werden die von SAP bereits mitgelieferten Sicherheitsfunktionen mit einbezogen: Was muss bei SAP explizit programmiert werden, was kann konfiguriert werden?

Nach einer Kurzeinführung über die Historie der Webentwicklung in SAP (ITS, ICF und ICM) wird aufgezeigt


 * wie eine sichere Landschaft aussieht und welcher Schutz auf Netzwerkebene angeboten wird
 * welche Rolle Web Application Firewalls und Reverse Proxies spielen

Danach wird auf die initiale sichere Konfiguration des SAP WebAS übergeleitet und auf die folgenden Fragen eingegangen:


 * Welche Dienste sind standardmäßig aktiviert und sollten deaktiviert werden?
 * Welche Sicherungsmaßnahmen bietet SAP bei der Authentifizierung und welche Konsequenzen entstehen aus den einzelnen Authentifikationsmethoden? (SSO, Basic Auth, Zertifikate, …)
 * Welche Möglichkeiten existieren auf Konfigurationsebene, um bei HTTP Fehlern zu reagieren? Sie müssen also nicht programmiert werden.
 * Welche Form der Protokollierung existiert und welche Probleme treten in der Verbindung mit Reverse Proxies auf?
 * Welche Daten werden im Security Audit Log gespeichert und wo findet man die HTTP logs?

Abschließend wird der Fokus auf die Entwicklung von eigenen HTTP Handlern und Web Services gelegt.


 * Welche Risiken entstehen und muss man beachten, wenn man bestehende Anwendungen über einen Web Service freigibt?
 * Übersicht über SAPs Web Security Szenarios
 * Risiken bei der Entwicklung von eigenen HTTP Handlern
 * Programmierfehler in Web Service Eigenentwicklungen – Abgleich zur Owasp Top 10

Dr. Ingo Hanke and Daniel Bartschies. Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten - ein Entwurf für TOP10 des Datenschutzes
Am Ausgangspunkt des Interesses an der Sicherheit ihrer Webapplikationen stehen insbesondere für kleine und mittlere Betriebe (KMU) immer häufiger Fragen des Datenschutzes. Ursache dafür ist das verstärkte Interesse der Öffentlichkeit und von Einzelpersonen an Fragen des Schutzes der persönlichen Daten sowie immer weiter verschärfte gesetzliche Vorgaben im Datenschutz.

Dies hat uns dazu bewogen, einen Massnahmenkatalog zur Datensicherheit unter dem Aspekt des Datenschutzes zu entwerfen. Als Basis dienten uns dazu der OWASP-Top10-Katalog zur Datensicherheit von Webapplikationen, unsere eigenen Erfahrungen aus diversen Projekten sowie die Auswertung von datenschutz-relevanten Sicherheitsvorfällen vergangener Jahre.

Ziel dieses Kataloges ist es, das für viele Websitebetreiber aus dem Bereich der KMU eher "abstrakte" und vielfach gerne vernachlässigte Thema der Sicherheit von Webanwendungen in der Agenda ihrer IT-Sicherheit nach oben zu bringen - weil die Relevanz von Sicherheitsvorfällen im Bereich des Datenschutzes selbsterklärend und augenscheinlich ist.

Aus unserer Sicht steht die fehlende oder unsachgemäße Verschlüsselung von Daten bzw. des Datenverkehrs an oberster Stelle - vergleichbar der Position 7 der aktuellen OWASP Top10 "Insecure Cryptographic Storage". Neben der Unkenntnis der Problemlage befinden sich dabei häufig Fragen der Usability und der einfachen Administration personenbezogener Daten in Opposition zu Fragen der Sicherheit.

An Position 2 haben wir fehlendes oder schlechtes Rechtemanagement bei Content-Management-Systemen und fehlende oder fehlerhafte Kontrollmechanismen bei der Publikation von - gegebenenfalls eben vertraulichen - Daten gesetzt. Nicht selten werden schutzwürdige Inhalte von Mitarbeitern veröffentlicht, ohne dass dabei im eigentlichen Sinne technische Sicherheitsmängel vorgelegen haben. Vielmehr sind in diesen Fällen die IT-Sicherheitsrichtlinien mangelhaft.

Call for Papers - German Version
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die dritte Konferenz OWASP AppSec Germany 2010 am 20.10.2010 aus. Die Konferenz findet begleitend zur IT-Security-Messe it-sa in Nürnberg statt. Das German OWASP-Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, Vorträge sind aber auch in Englisch willkommen. Die OWASP AppSec Germany 2010 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

Call for Presentations
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags.

Erwünscht sind alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere:


 * Praxisrelevante technische Vorträge
 * Sichere Entwicklungs-Frameworks und Best Practices
 * Secure Development Lifecycle
 * Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
 * Security-Management von Anwendungen im Unternehmen
 * Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
 * Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
 * OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
 * Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP Speaker Agreement http://www.owasp.org/index.php/Speaker_Agreement) auf der Konferenzwebseite veröffentlicht. Das OWASP Speaker Agreement muss vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

Teilnehmer und Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 19.10.2010.

Program Committee

 * Bruce Sams
 * Martin Johns
 * Kai Jendrian
 * Boris Hemkemeier
 * Dirk Wetter

Termine

 * Einreichungen bis 15.08.2010 Bitte fügen Sie eine Zusammenfassung des Vortrags (200-500 Worte), ggf. eine Vorabversion des Foliensatzes sowie eine Kurzbiographie (30-100 Worte) bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an.
 * Einreichungen online über http://www.easychair.org/conferences/?conf=appsecgermany2010 . Bitte geben sie alle vortragsrelevanten Informationen (siehe oben) in dem Feld "Abstract" ein. Weiterhin haben Sie die Möglichkeit, bis zu zwei Dateien (z.B. Papier, Folien oder Biographie) hochzuladen.
 * Benachrichtigung der Vortragenden: 15.08.2009.
 * Einreichung der Foliensätze (prefinal): 01.10.2009
 * Konferenz: 20.10.2010, Vorabendveranstaltung am 19.10.2010

Call for Papers - English Version
The German section of the Open Web Application Security Project (OWASP) announces a for Presentations (CfP) for the third OWASP AppSec Germany conference on the 20th of October 2010 in Nuremberg. The conference will be held in parallel with the IT security exhibition. The conference is primarily oriented toward a german speaking audience, but also presentations in English are welcome. The OWASP AppSec Germany 2010 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications.

Call for Presentations
To submit a proposal, please send either a summary of no more than two pages in length or a preliminary version of the presentation.

We are interested in all topics related to Web Application Security and OWASP, in particular:


 * Technical presentations related to operations
 * Frameworks and best practices for secure development
 * Secure Development Lifecycle
 * Security awareness programs for developers, testers, architects and project owners
 * Security management for applications in the corporate environment
 * Application security for Outsourcing and Offshoring projekts
 * Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
 * OWASP in your workplace, university, etc.
 * Metrics for application security

Depending on the number of submissions, we will offer either one or two tracks. Presentations can be either 30 or 45 minutes in length. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license (see below). We would like to remind you that all speakers must accept and sign the OWASP Speaker Agreement without changes prior to the conference.

We anticipate that a small lab session will be offered, in which demonstrations from the conference can be shown or in which participants can get in-depth information from the speakers.

'''Participants and speakers are all warmly invited to attend the evening program on the 19th of October 2010. '''

Program Committee

 * Bruce Sams
 * Martin Johns
 * Kai Jendrian
 * Boris Hemkemeier
 * Dirk Wetter

Dates

 * Submissions no later than 15 August 2010 online via Easychair. Please attach either a preliminary version of the presentation or a summary (200 to 500 words), and if possible, a brief biography (20 to 50 words). Please also state the desired length (30 or 45 Minutes).
 * Notification of acceptance by 15 August 2010.
 * Prefinal submission of the slides by 01 October 2010
 * Conference: October 20, 2010. Evening program on the 19th of October, 2010

Registration
coming soon ...

Vorabendveranstaltung
Wie auch die letzten Jahre wird es eine Vorabendveranstaltung zur Konferenz geben. Details werden hier bekanntgegeben. Die Vorabendveranstaltung wird am 19.10.2010 in Nürnberg stattfinden.

it-sa / OWASP Messestand
Wie in den vergangenen beiden Jahren wird die OWASP an allen drei Messetagen wieder mit einem Stand auf der it-sa vertreten sein. Ihr findet uns am Stand 201, direkt beim Eingang West.

Neben Informationsmaterial und Give-Aways stehen Euch OWASP-Mitglieder Frage und Antwort zur OWASP und zum Thema Webanwendungssicherheit im Allgemeinen und Speziellen. Wir freuen uns auf spannende Gespräche und regen Zuspruch! Achja: Wer OWASP-Mitglied werden möchte, kann das natürlich gleich vor Ort machen ;)

Infos für Sponsoren
Als Sponsor der OWASP AppSec Germany 2010 setzen Sie auch in diesem Jahr wieder ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security trotz Finanzkrise und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

In diesem Jahr findet die OWASP AppSec Germany 2010 wie im letzten Jahr parallel zur Security-Messe it-sa in Nürnberg statt; dadurch ist u.a. eine sehr gute Einbindung der OWASP Konferenz in bestehende Marketing-Akivitäten, insbesondere seitens der Veranstalter der it-sa, gegeben. Im Rahmen einer Konferenz-begleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Aus Platzgründen sind maximal sechs Stände möglich. Diese werden nach dem Zeitpunkt des Eingangs der verbindlichen Zusage “first come first served” vergeben. Nach heutigem Kenntnisstand erwarten wir zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness-, Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des einfachen “Logo- oder Roll-Up Sponsorings”

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Genaue Details zum Sponsoring finden Sie hier: http://www.owasp.org/images/7/74/OWASP_D_2010_SponsorenInfo.pdf

Kontakt / Contact
Für das CfP ist bitte die Applikation 'easychair' zu nutzen. Anfragen, die über die Einreichung von Präsentationen hinausgehen, bitte an die folgende E-Mail Adresse:

appsec_germany@owasp.org