German OWASP Day 2016

German OWASP Day 2016 / Deutscher OWASP-Tag 2016
Auch ​dieses ​Jahr ​richtet ​das ​German ​Chapter ​des ​Open ​Web ​Application ​Security ​Project ​(OWASP) ​wieder ​ihre ​nationale ​OWASP-Konferenz ​aus ​-- ​zum achten ​Mal. ​Der ​German ​OWASP ​Day ​ist ​die ​wichtigste, ​unabhängige ​und ​nicht-kommerzielle ​Konferenz ​in ​Deutschland ​zur ​Sicherheit ​von ​Anwendungen. ​Er ​findet ​am 29. November.2016 ​in ​Darmstadt ​statt. Am Vorabend sind alle Teilnehmer und Sprecher in die Weststadtbar (www.weststadt.de) zum Networken und fachlichen Austausch eingeladen.

Die ​Konferenz ​richtet ​sich ​primär ​an ​ein ​deutschsprachiges ​Publikum; ​die ​Konferenzsprache ​ist ​Deutsch. ​Die ​Zielgruppe ​sind ​Entwickler, ​IT-Sicherheitsverantwortliche, ​DV-Leiter ​und ​die ​klassische ​“security ​crowd”. ​Der ​German ​OWASP ​Day ​2016 ​ist ​eine ​Security-Konferenz ​mit ​Fachvorträgen ​zu ​sicherer ​Entwicklung, ​Betrieb, ​Test ​und ​Management ​im ​Umfeld ​von ​webbasierten ​Anwendungen. ​Auch ​fachübergreifende, ​nicht-technische ​Themen ​sind ​willkommen. ​OWASP ​und ​OWASP-Konferenzen ​sind ​herstellerneutral ​und ​ohne ​Marketingvorträge.

Wir freuen uns, das wir in diesem Jahr mit CAST e.V. eine der wichtigsten Institutionen für angewandte Sicherheit in Deutschland als Partner für die Konferenz gewinnen konnten. CAST ist seit 2015 Academic Supporter von OWASP.

Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2016 (https://www.owasp.org/index.php/German_OWASP_Day_2016) zu finden.

Call For Presentations
Der Call for Presentations ist geschlossen.

Unsere Sponsoren
Wir danken folgenden Firmen für die Unterstützung des German OWASP Day 2016.

Sponsoring
Ist natürlich auch dieses Jahr wieder herzlich willkommen.

Details für Sponsoren finden sich im [[media:GOD_2016_Sponsorsheet.pdf|&rarr; Sponsorsheet]],. Ihr Ansprechpartner ist [mailto:tobias.glemser@owasp.org Tobias Glemser]

Konferenzort

 * Dienstag, den 29. November 2016, von 08:55 bis zirka 18 Uhr. Die Registrierung öffnet um 08:30.
 * CAST e.V. im neuen Gebäude des Fraunhofer SIT, Rheinstraße 75, 64295 Darmstadt - ca. 700m vom Bahnhof entfernt.

Vorabendveranstaltung
Alle Teilnehmer sowie Vortragende sind herzlich zur Vorabendveranstaltung am 28. November ab 19h eingeladen (im Tagungsbeitrag enthalten).

Wir treffen uns in der Weststadtbar www.weststadt.de ab 19:00 Uhr. Dort wird bei einem leckeren Essen und reichhaltiger Getränkeauswahl viel Raum für fachlichen und persönlichen Austausch sein. Und sportlich natürlich auch - weiteres dazu aber am 28.11. ...

Talks und Abstracts
Sebastian Schinzel: DROWN (oder warum TLS-Konfiguration schwer ist)

Abstract: Die im März 2016 vorgestellte DROWN-Schwachstelle (https://drownattack.com/) erlaubte es Angreifern die Verschlüsselung von TLS-Sessions zu brechen, wenn der Server auch das veraltete SSLv2 unterstützte. Insgesamt waren TLS-Session zu 33% aller HTTPS-Server im Internet anfällig für DROWN. Bemerkenswert ist hier, dass SSLv2 schon seit 1995 als unsicher gilt und kein moderner Client überhaupt noch SSLv2 unterstützt.

In diesem Talk stelle ich die DROWN-Schwachstelle vor und analysiere die Gründe, warum so viele Server im Internet anfällig waren. Abschließend diskutiere ich, was Administratoren von TLS-Servern aus DROWN lernen sollten.

Daniel Kefer and René Reuter: Security Requirements im Software Development Lifecycle

Abstract: Je größer eine Firma ist, in der man arbeitet, desto mehr Technologien und Methodiken werden in der Regel von den Entwicklungsteams verwendet. Zur selben Zeit will man jedoch die Sicherheitsrisiken in einem geeigneten, zuverlässigen und messbaren Verfahren für alle diese Technologien und Methodiken adressieren.

Nach einer kurzen Einführung eines einheitlichen Prozesses, um Security Requirements in einer größeren Firma zu behandeln, konzentriert sich der Hauptteil dieses Vortrages auf ein Tool namens SecurityRAT (Requirement Automation Tool), welches entwickelt wurde um diesen Prozess zu unterstützen und zu beschleunigen. Das Ziel dieses Tools ist es, zuerst eine Liste aller relevanten Security Requirements anhand der Eigenschaften der zu entwickelten Software bereit zu stellen, und anschließend diese in einem größtenteils automatisierten Weg zu behandeln. Die Integration mit einem Ticketsystem ist eines der Hauptfeatures.

Das Tool wurde im Mai 2016 open sourced (verfügbar unter https://github.com/SecurityRAT) und wird momentan stetig weiter entwickelt. Die neuesten Features, "Work in Progress" und ein Ausblick auf die zukünftigen Pläne bilden den Abschluss des Vortrages.

Matthias Rohr: Sicherheit agil Testen

Abstract: Heutzutage werden Anwendungen zunehmend agil entwickelt, z.B. mittels Scrum. Selbst große Konzerne setzen mittlerweile verstärkt auf dieses Vorgehensmodell, immer häufiger auch in Verbindung mit DevOps. Der Umstieg auf agile Softwareentwicklung bringt dabei zahlreiche Vorteile mit sich, besitzt jedoch auch gravierende Auswirkungen auf viele damit verbundenen Aspekte. Natürlich auch in Bezug auf Sicherheitsvorgaben und -aktivitäten wie insbesondere Security Tests. Gerade hiermit tun sich Unternehmen sehr oft (noch) sehr schwer damit funktionierende Lösungen auch für die agile Welt zu definieren. Schwergewichtige Prozesse und Testmethoden lassen sich hier vielfach schlicht einfach nicht anwenden.

Wie etwa lässt sich auch ein Pentest sinnvoll durchführen, wenn an einer Anwendung täglich gleich mehrere Änderungen an der Produktion erfolgen? Hier ist ein Umdenken erforderlich. Sowohl in der Entwicklungs- als auch innerhalb von Security Teams selbst. Tools können hier helfen, müssen aber in den Build-Prozess integriert und verstanden weren. Letztlich werden Tools aber immer nur einen Teil der Lösung darstellen. Häufig wichtiger ist dagegen die Berücksichtigung von Sicherheitsaspekten bei Planung und Durchführung eines Sprints.

In diesem Vortrag werden hierzu verschiedene Lösungsansätze aus der Praxis vorgestellt und demonstriert die selbst in hochagilen Entwicklungsvorgehen greifen. Darunter die Etablierung von Secure Defaults, der Aufbau und die Integration von AppSec Pipelines zur Testautomatisierung (was heute besser mit OpenSource-Tools möglich ist als noch vor einigen Jahren) und wie sich klassische Testmethodiken wie Pentests für den Einsatz in einem agiles Umfeld umgestalten lassen. Andreas Falk. Sicher in die Cloud mit Angular 2 und Spring Boot Abstract: Single Page Applikationen auf Basis von Angular 2 in Kombination mit RESTful Services auf Basis von Spring Boot sind aktuell sehr beliebt. Im Zeitalter der Cloud und mit Hilfe von Praktiken wie Continuous Delivery sind diese auch schnell in Produktion gebracht. Doch wie steht es um die Sicherheit derartiger Anwendungen? Diese Session zeigt aus der Praxis eines IoT Projekts auf welche Aspekte es wirklich ankommt um eine sichere Anwendung in die Cloud zu bringen. Dies umfasst Themen wie u.a. die Authentifizierung auf Basis von OpenID Connect 1.0 und OAuth 2, Secure Coding (u.a. die Vermeidung unsicherer API's in Angular 2) sowie automatisierte Security-Tests der RESTful Services im Backend. Diese Session ist eine Mischung aus Projekterfahrungen, brandaktuellen Features wie Angular 2 als OpenID Connect Client und Best-Practices in der Implementierung von RESTful Backends mit Spring Boot und Spring Security. Dies wird begleitet durch passende kurze Live-Demos.

'''Thomas Patzke. Durchsuchen und analysieren von HTTP-Daten mit dem WASE-Framework'''

Abstract: Im HTTP-Protokoll übertragene Daten wie Header und Parameter sind für die Sicherheit einer Webanwendung oft von Relevanz. Die Such- und Analyse-Funktionen von den verbreiteten Werkzeugen, wie der Burp Suite oder OWASP ZAP lassen oft jedoch zu wünschen übrig. Typische Fragestellungen einer Webapplikationsprüfung wie "Welche URLs enthalten Security Header X nicht?" oder "In welchen POST-Anfragen ist kein CSRF-Token enthalten?" lassen sich deswegen oft nur unkomfortabel beantworten.

Diese Lücke versucht das Opensource-Projekt WASE (Web Audit Search Engine) zu schließen. Hierzu werden zahlreiche Bestandteile des HTTP-Protokolls wie Header und Parameter mit ElasticSearch indiziert. Mit Hilfe weiterer Werkzeuge, wie Kibana oder dem in WASE enthaltenen Client können diese dann durchsucht und analysiert werden.

In diesem Vortrag wird das WASE-Framework vorgestellt. Es wird gezeigt, wie damit in Webapplikations-Prüfungen Schwachstellen identifiziert werden können. Des Weiteren werden weitere Einsatzgebiete und Ergebnisse, wie die statistische Auswertung des Crawlens einer großen Anzahl von Webseiten vorgestellt und ein Ausblick auf die in Zukunft geplante Entwicklung des Projekts gegeben.

'''Lukas Weichselbaum, Michele Spanguolo, Artur Janc and Sebastian Lekies. CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy'''

Abstract: Content Security Policy is a web platform mechanism designed to mitigate cross-site scripting (XSS), the top security vulnerability in modern web applications [24]. In this talk, we take a closer look at the practical benefits of adopting CSP and identify significant flaws in real-world deployments that result in bypasses in 94.72% of all distinct policies. We base our Internet-wide analysis on a search engine corpus of approximately 100 billion pages from over 1 billion hostnames; the result covers CSP deployments on 1,680,867 hosts with 26,011 unique CSP policies – the most comprehensive study to date. We introduce the security-relevant aspects of the CSP specification and provide an in-depth analysis of its threat model, focusing on XSS protections. We identify three common classes of CSP bypasses and explain how they subvert the security of a policy. We then turn to a quantitative analysis of policies deployed on the Internet in order to understand their security benefits. We observe that 14 out of the 15 domains most commonly whitelisted for loading scripts contain unsafe endpoints; as a consequence, 75.81% of distinct policies use script whitelists that allow attackers to bypass CSP. In total, we find that 94.68% of policies that attempt to limit script execution are ineffective, and that 99.34% of hosts with CSP use policies that offer no benefit against XSS. Finally, we propose the ’strict-dynamic’ keyword, an addition to the specification that facilitates the creation of policies based on cryptographic nonces, without relying on domain whitelists. We discuss our experience deploying such a nonce-based policy in a complex application and provide guidance to web authors for improving their policies.

'''Christian Schneider. Java Deserialization Attacks: Angriff & Verteidigung'''

Abstract: Dieser Talk gibt einen fundierten Überblick über den aktuellen Stand zum Thema Angriffe auf Java Deserialisierung: Nach einer kurzen Analyse des Grundproblems hinter der Verwundbarkeit am Beispiel realer Gadgets lernen Sie die mittlerweile verfügbaren Exploitation-Werkzeuge zur Ausnutzung von Deserialization-Endpoints kennen. Weiterhin werden wertvolle Tipps zum Auffinden von Gadgets und Endpoints mittels statischer Analyse (SAST) sowie dynamisch bei Pentests (DAST) vermittelt.

Der defensive Part des Talks widmet sich den Möglichkeiten zur Absicherung: Am Beispiel von Bypässen bestimmter Härtungsmaßnahmen werden deren Wirkungsgrade analysiert. Abschließend zeige ich, dass das Thema Java Deserialisierung nicht nur Java direkt betrifft, sondern auch auf der JVM verfügbare andere Sprachen.

'''Patrick Spiegel. NoSQL Injection revisited'''

Abstract: In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges, but do they provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “ This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases – MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kinds of requests can be crafted that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.

!!! Die Registrierung ist eröffnet !!!
Da wir auch dieses Jahr eine beschränkte Teilnehmerzahl von 150 haben, ist es ratsam, sich umgehend anzumelden.

Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular unverbindlich mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht.


 * Regulär: 219,00 €
 * OWASP Member oder Mitarbeiter eines CAST e.V. Mitglieds: 199,00 € OWASP Member im German Chapter könnt ihr hier werden.
 * Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.

Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.

Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.

Organisation

 * Ingo Hanke (Chair)
 * Boris Hemkemeier
 * Hartwig Gelhausen
 * Tobias Glemser
 * Achim Hoffmann
 * Björn Kimminich


 * Martin Johns (Program Chair)
 * Dirk Wetter (Chapter Leader)

Hash tag
#owasp_d2016

Social Media Response
Social Media Recap at Eventifier

