German OWASP Day 2017

German OWASP Day 2017 / Deutscher OWASP-Tag 2017
Auch ​dieses ​Jahr ​richtet ​das ​German ​Chapter ​des ​Open ​Web ​Application ​Security ​Project ​(OWASP) ​wieder ​ihre ​nationale ​OWASP-Konferenz ​aus ​-- ​zum neunten ​Mal. ​Der ​German ​OWASP ​Day ​ist ​die ​wichtigste, ​unabhängige ​und ​nicht-kommerzielle ​Konferenz ​in ​Deutschland ​zur ​Sicherheit ​von ​Anwendungen. ​Er ​findet ​am 14. November 2017 ​in Essen ​statt.

Die ​Konferenz ​richtet ​sich ​primär ​an ​ein ​deutschsprachiges ​Publikum; ​die ​Konferenzsprache ​ist ​Deutsch. ​Die ​Zielgruppe ​sind ​Entwickler, ​IT-Sicherheitsverantwortliche, ​DV-Leiter ​und ​die ​klassische ​“security ​crowd”. ​Der ​German ​OWASP ​Day ​2017 ​ist ​eine ​Security-Konferenz ​mit ​Fachvorträgen ​zu ​sicherer ​Entwicklung, ​Betrieb, ​Test ​und ​Management ​im ​Umfeld ​von ​(webbasierten) ​Anwendungen. ​Auch ​fachübergreifende, ​nicht-technische ​Themen ​sind ​willkommen. ​OWASP ​und ​OWASP-Konferenzen ​sind ​herstellerneutral ​und ​ohne ​Marketingvorträge.

Alle Infos werden über die Mailingliste des German Chapters (https://lists.owasp.org/mailman/listinfo/owasp-germany) verteilt und sind auf der Webseite des German OWASP Day 2017 (https://www.owasp.org/index.php/German_OWASP_Day_2017) zu finden.

Call For Presentations
Der Call for Presentations ist geschlossen.

Sponsoring
Ist natürlich auch dieses Jahr wieder herzlich willkommen.

Details für Sponsoren finden sich im &#8594; Sponsorsheet bzw. Information in English &#8594; Sponsorsheet english.

Ihr Ansprechpartner ([mailto:alexios.fakos@owasp.org Alexios Fakos]) freut sich auf Ihre Anfragen und Unterstützung für das großartige Event.

Konferenzort

 * Dienstag, den 14. November 2017
 * Philharmonie Essen, Huyssenallee 53, 45128 Essen, Germany (500m vom Hauptbahnhof Essen entfernt)

Keynote: Prof. Dr. Matthew Smith (Universität Bonn): t.b.a.
Abstract: t.b.a.

Invited Talk: Sebastian Lekies, Krzysztof Kotowicz, Eduardo Vela Nava (Google): Breaking XSS mitigations via Script Gadgets'

Abstract: t.b.a.

Pascal Wichmann, Dominik Herrmann (Universität Hamburg): PrivacyScore: ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsproblemen

Abstract: PrivacyScore ist ein im Juni 2017 gestartetes Web-Portal (Open-Source-Software), mit dem automatisiert überprüft werden kann, ob Webseiten gängige Mechanismen zum Schutz von Sicherheit und Privatheit (korrekt) implementieren. Geleitet von der Frage wie sich Anreize für Betreiber schaffen lassen, um Datenschutz- und Sicherheitsmängel abzustellen, ermöglicht PrivacyScore das Anlegen von Listen mit mehreren Webseiten, etwa aller Krankenversicherungen oder aller Städte in Deutschland. Innerhalb einer Liste ist ein unmittelbarer Vergleich möglich. Das hergestellte Ranking erhöht die Transparenz für Betreiber, Anwender und Aufsichtsbehörden und erzeugt Aufmerksamkeit. Gerade im Hinblick auf die im Mai 2018 in Kraft tretende EU-DSGVO ist ein Tool wie PrivacyScore hilfreich, um zu ermitteln ob und wie Webseiten Maßnahmen ergreifen um rechtliche Anforderungen umzusetzen.

Dieser Vortrag beleuchtet zum einen die technischen Aspekte von PrivacyScore, darunter die Architektur der Scanning-Infrastruktur und die Funktionsweise einiger der etwa 50 Checks, die bei jeder Webseite durchgeführt werden. Seit Juni 2017 wurden mehr als 17.000 URLs zur Analyse hochgeladen, die nun kontinuierlich überprüft werden. Wir präsentieren daher auch erste Erkenntnisse aus dem Betrieb, einige Kuriositäten und die weiteren Pläne für das Projekt.

Bios: Dominik Herrmann hat Wirtschaftsinformatik an der Universität Regensburg und am University College Dublin studiert und 2008 mit dem Diplom abgeschlossen. Nach dem Studium war er wissenschaftlicher Mitarbeiter und Studiengangskoordinator an der Wirtschaftswissenschaftlichen Fakultät der Universität Regensburg. Im Jahr 2011 wechselte er an den Fachbereich Informatik der Universität Hamburg, wo er 2014 promoviert wurde. Seine Dissertation wurde u.a. mit dem Dissertationspreis der Gesellschaft für Informatik (GI) ausgezeichnet. Zwischen 2015 und 2017 war er an der Universität Siegen mit der Vertretung der Professur für IT-Sicherheitsmanagement beauftragt. Derzeit forscht er am Arbeitsbereich Sicherheit in verteilten Systemen an der Universität Hamburg an Angriffen auf die Privatsphäre von Internetnutzern und an der Entwicklung datenschutzfreundlicher Systeme. Dominik Herrmann ist GI-Junior-Fellow, Mitglied des GI-Präsidiums und Mitherausgeber des 14-tägigen Newsletters GI-Radar.

Pascal Wichmann studiert Informatik an der Universität Hamburg. Er hat die technische Umsetzung von PrivacyScore maßgeblich vorangetrieben.

Erik Derr (CISPA): The Impact of Third-party Code on Android App Security

Abstract: Third-party libraries on Android have been shown to be security and privacy hazards by adding security vulnerabilities to their host apps or by misusing inherited access rights. Correctly attributing improper app behavior either to app or library developer code or isolating library code from their host apps would be highly desirable to mitigate these problems, but is impeded by the absence of a third-party library detection that is effective and reliable in spite of obfuscated code.

In this talk, I'll highlight a library detection technique that is resilient against common code obfuscations and that is capable of pinpointing the exact library version used in apps. Applying this approach to apps from Google Play, we measure the outdatedness of libraries and particularly show that app developers slowly adapt new library versions, exposing their end-users to large windows of vulnerability. We discover that long-known security vulnerabilities in popular libraries are still present in current apps. A subsequent analysis of the apps' library usage reveals that 97.8% of apps that actively use a library with a known vulnerability could be easily fixed through a drop-in replacement of the vulnerable version with the fixed version. I conclude with a discussion of root causes of the current status-quo and by proposing actionable items to remedy the situation.

Bio: Erik Derr is a PhD student in Computer Science working with Dr. Michael Backes at the Center for IT-Security, Privacy and Accountability (CISPA) in Germany. He received a BSc and Msc in Computer Science from Saarland University. His research focuses on mobile security and on the intersection of program analysis and machine learning.

Martin Knobloch (OWASP): Building secure software with OWASP tools and guides

Abstract: All know the OWASP TopTen, some one or more other projects. The problem is, where the wiki is good to archive the project information, it is hard to find information if you don't know what you are looking for. Therefore, only a few have a broader understanding of projects (being tools or guides) you can use in your software development lifecycle, even before, to create more secure software. This talk is highlighting various OWASP projects taking you from CISO policies, security requirements to building and secure software and verifying the security level.

Marius Musch (TU Braunschweig), Martin Härterich (SAP SE): Chameleon: Automatic Generation of Low-Interaction Web Honeypots

Abstract: Low-interaction honeypots (LIHPs) are a well-established tool to monitor malicious activities and detect previously unknown attacks by emulating the appearance and behavior of a real system. However, existing honeypots share a common problem: Anyone aware of their existence can easily fingerprint and subsequently avoid them. Especially for web application honeypots facing the Internet, companies would rather like to know if the specific applications they use are targeted in attacks and not if some generic honeypot finds attacks of no relevance to their own infrastructure.

In this talk, we present Chameleon, an approach for the fully automatic generation of LIHPs. Chameleon creates honeypot versions of existing systems through automatic network interaction with the real systems and building response templates from the observed response traffic. By comparing similar responses, variable parts are identified and imitated with these templates. On run-time, the best matching template is chosen to respond to a received network request. This approach allows a large-scale deployment of Honeypots in a highly scalable fashion: No manual effort is need in honeypot generation and a single instance of Chameleon can emulate a large number of systems simultaneously. Thus, a LIHP infrastructure for a company's full application landscape can be created, deployed and operated automatically with little effort and minimal technical resource requirements in a timely fashion.

We document our prototypical implementation for HTTP(S) and our practical experiments with Chameleon's honeypots in the wild. Our results show that the generated honeypots are indistinguishable for popular fingerprinting tools and the received traffic shows no difference to traffic directed at real systems.

Bios: Marius Musch is a PhD candidate at the Braunschweig University of Technology. His main field of research is web application security with a focus on client-side attacks.

Martin Härterich joined SAP Security Research in 2011 and since then has been working on as diverse fields as threat modeling, applied cryptography, intrusion detection and more recently on honeypots. Martin holds a PhD in pure mathematics from the University of Freiburg.

Jens Müller (Ruhr-Universität Bochum): Large Scale Analysis of CORS misconfigurations

Abstract: Cross-Origin Resource Sharing (CORS) ermöglicht es einer Webseite, den Zugriff auf die eigenen Ressourcen durch fremde Ursprünge (Origins) zu regulieren. Durch fehlerhafte Anwendung kann allerdings auch unerwünschten Origins der Zugang gewährt werden. Die Same-Origin-Policy (SOP) und damit ein wesentlicher Schutzmechanismus im Web wird faktisch außer Kraft gesetzt. Basierend auf vorangegangenen Forschungsarbeiten wurde ein Tool implementiert, welches Webseiten automatisiert auf Fehlkonfigurationen analysiert: CORStest. Hiermit wurden die Alexa top 1 Million Webseiten auf potentiell angreifbare CORS-Einstellungen hin untersucht. Das Ergebnis war erschreckend: Etwa jede fünfte Webseite mit CORS-Unterstützung wies eine gefährliche oder unzulässige Konfiguration auf. Jede zehnte Webseite mit CORS-Unterstützung hatte die SOP hierdurch sogar komplett deaktiviert -- darunter Online-Banking Portale, E-Commerce Shops und soziale Netzwerke. Eine beliebige Webseite kann somit Aktionen im Kontext eingeloggter Nutzer vornehmen, Benutzerdaten auslesen oder verändern. Ferner wurden Gründe für CORS-Fehlkonfigurationen untersucht: Hier konnten sowohl verwundbare Web-Frameworks und Module ausgemacht werden, als auch eine Vielzahl fehlerhafter Konfigurations-Tipps auf Stackoverflow & co.

Thomas Patzke: Threat Hunting mit Applikations-Logs und Sigma

Abstract: Log-Dateien sind eine großartige Quelle, um Angriffe auf IT-Systeme zu erkennen. Meistens konzentrieren sich die Bemühungen hierfür auf Log-Dateien von Betriebssystemen, Proxys und Firewalls, während die Applikations-Logs außen vor bleiben. Oftmals sind verwundbare (Web)applikationen jedoch der Einstiegspunkt eines Angreifers und bis zur erfolgreichen Kompromittierung werden in den Fehler-Logs zahlreiche Spuren hinterlassen, deren frühzeitige Erkennung zu einer schnellen Eindämmung des Angriffs führen könnte. Nach einer kurzen Einführung in das Thema Threat Hunting mit Logdateien wird das Open-Source-Projekt Sigma vorgestellt, ein generisches Format für Log-Signaturen mit einer Sammlung von Signaturen für typische Angriffsmuster, sowie ein Tool zur Konversion in gängige SIEM-Systeme. Anschließend wird beschrieben, wie diese Werkzeuge mit Applikations-Logs zur Erkennung von Angriffen genutzt werden können und wie Anwendungsentwickler die Effektivität der Angriffserkennung verbessern können.

Giancarlo Pellegrino (CISPA): Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs

Abstract: Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually.

In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites.

Bio:: Giancarlo Pellegrino is a researcher at CISPA (Center for IT-Security, Privacy and Accountability), Saarbruecken, Germany. His main research interests include all aspects of web security in particular automated vulnerability analysis. Prior joining CISPA, Giancarlo worked at TU Darmstadt, Germany, and was member of the S3 group at EURECOM, in France. Until August 2013, he was a researcher associate of the Security and Trust research group at SAP SE.

Benjamin Kellermann (MGM Security Partners): NinjaDVA - NinjaDVA is not just another damn vulnerable application

Abstract: Webgoat, Metasploitable, DVWA, OWASP Shepherd usw. sind alles wertvolle Applikationen, an denen man Schwachstellen ausprobieren kann. Darüber hinaus gibt es mit Vulnhub, Hacking-Lab, Web Security Dojo, usw. bereits einige Implementierungen für vollständige Lernumgebungen (Lab) mit vielen integrierten Applikationen (Damn Vulnerable Applikationen). Auch unser Projekt besteht im Kern aus einer Sammlung verschiedener Anwendungen, welche unterschiedliche Schwachstellen implementieren.

Im Unterschied zu allen anderen Umsetzungen ist unser Lab dafür ausgelegt, während Schulungen von vielen Teilnehmern gleichzeitig benutzt zu werden.

Den Einstieg bildet ein Dashboard, in welchem der geplante Seminarablauf eingesehen und der Vortragsinhalt nachverfolgt werden kann. Zusätzlich bietet es kommunikative Möglichkeiten für den Austausch mit dem Schulungsleiter oder anderen Seminarteilnehmern.

Einzelne Module des Dashboards werden im Laufe des Vortrags benutzt, um verschiedene Schwachstellen anhand von Webanwendungen live und anschaulich zu demonstrieren. So beinhaltet beispielsweise die Funktion zum Öffnen neuer Folien innerhalb des Dashboards eine XSS-Schwachstelle. Die Integration von Präsentations- und Schulungsumgebung ermöglich es den Schulungsteilnehmern, mit minimalem Einarbeitungsaufwand in einer höchst homogenen Schulungsumgebung effektiv zu experimentieren und Gelerntes zu vertiefen. Der Teilnehmer erhält die Möglichkeit, sich in die Lage eines Angreifers zu versetzen und lernt so, dessen Denkweisen besser zu verstehen. In einem über den Browser benutzbaren Online-Editor können die Teilnehmer beispielsweise mit wenig Aufwand eigene Webseiten erstellen, um verschiedene Webangriffe selbst auszuprobieren.

Für den Schulungsleiter sind Monitoringfunktionen implementiert, welche ähnlich eines Honeypots funktionieren. Der Schulungsleiter kann so Live verfolgen, wie weit welcher Teilnehmer im Lösen der Aufgabe ist.

Viele demonstrierte Angriffe sind in der Praxis auf Kollaboration mit einem Opfer ausgelegt. Gängige Demonstrationsseiten (Webgoat et al.) implementieren hierbei nur den Server, was dazu führt, dass der Teilnehmer sich selbst angreifen muss. Unsere Implementierung zeigt einige Beispiele, in denen Bots im Hintergrund die Seiten der Nutzer aufrufen (z.B. mittels PhantomJS) und damit ein echtes Opfer simuliert wird. Darüber hinaus sind viele Seiten so aufgebaut, dass Teilnehmer untereinander kommunizieren können (z.B. Chats, Tauschseiten, ...), wodurch die Beispiele weniger statisch wirken, als gewöhnliche Demonstrationsseiten.

Der Vortrag erklärt den Aufbau und die Technik, welche sich hinter dem Lab befindet. Wir werden auf verschiedene Schwierigkeiten eingehen, welche sich beim Entwickeln zeigten, z.B.: Wie demonstriert man verschiedene Schwachstellen, mit denen sich der Server vollständig kompromittieren lässt, erhält aber gleichzeitig die Funktionalität für langsamere Teilnehmer? Wie zeigt man Angriffe auf kollaborativen Seiten, ohne allen Teilnehmern gleich die Lösung für alle Angriffe (durch für ihn sichtbare erfolgreiche Angriffe) zu verraten?

Stephan Plarre ( VISUS Health IT): Kommunikationsstandards im Gesundheitswesen

Abstract: Die IT- Infrastruktur in Krankenhäusern ist von einer Vielzahl heterogener (spezieller) Anwendungen geprägt. Eine hohe Integration und Interoperabilität der Anwendungen sollen die Nutzer möglichst optimal unterstützten und zur Sicherheit des Patienten beitragen. Die Kommunikation zwischen den einzelnen Systemen erfolgt unter Anwendung branchenspezifischer, international standardisierter Kommunikationsprotokolle. Nach einer beispielhaften Einführung in eine typische klinische IT- Infrastrukur wird ein Überblick die etablierten Kommunikationsstandards im Gesundheitswesen, HL7 und DICOM, gegeben werden.

Florian Otterbein (Deloitte): Benutzerfreundliche Zwei-Faktor-Authentifizierung basierend auf Ultraschall

Abstract: Die Vergangenheit hat gezeigt, dass es Angreifern durch gezielte Attacken immer wieder gelingt sensible Benutzerdaten und Passwörter zu entwenden. Diese Daten können genutzt werden um Online-Konten zu übernehmen und weiteren Schaden anzurichten. Eine Möglichkeit Angreifern den Zugang zu Konten zu erschweren stellt die Zwei-Faktor-Authentifizierung dar. Hierbei wird neben der Eingabe des Passworts in den meisten Fällen ein zusätzlicher Token abgefragt, der sich zyklisch ändert und zum Beispiel vom eigenen mobilen Endgerät abgelesen werden muss. Ein Nachteil des zusätzlichen Schutzmechanismus stellt die Usability dar, sodass viele Benutzer auf die Verwendung eines Sicherheitstokens verzichten.

Im Sinne der User-Centered Security wurde eine Android-Applikation entwickelt, die basierend auf Ultraschall mit einer Webapplikation kommunizieren kann. Das für das menschliche Gehör nicht wahrnehmbare Geräusch stellt somit einen Kommunikationskanal dar, der unabhängig von den technischen Voraussetzungen des Endgerätes genutzt werden kann und keine Benutzerinteraktion erfordert. In diesem Beitrag wird zunächst auf das Konzept und anschließend auf die Implementierung und das verwendete Protokoll eingegangen. Ein Ausblick auf weitere benutzerfreundliche Zwei-Faktor-Authentifizierungen soll als Beispiel dienen, wie das Thema auch in Zukunft vorangetrieben werden kann.

'''Bastian Braun (MGM Security Partners): Bot or Not? - Mitigating Automated Threats to Web Applications'''

Abstract: One of the prevalent threats for web applications are automated attacks. These range from the well-known scenario where an attacker tries to brute force password-protected login forms to sophisticated bots that try to silently but automatically harvest potentially sensitive information. Various technologies try to mitigate the threat posed by automated attacks. Some applications employ CAPTCHAs, others try to block requests from the attacker’s IP address. However, these anti-automation techniques usually suffer from side effects - many just impairing the user experience while some even tend to lock out a number of users mistakenly. This talk provides an overview of available anti-automation concepts and discusses advantages and shortcomings of each approach. Based on these characteristics, it gives recommendations about suitable areas of application for each concept and takes a long view on the applicability of today's best practices.

Björn Kimminich (Kuehne + Nagel): OWASP Juice Shop 5.x and beyond

Abstract: This year OWASP Juice Shop saw several significant enhancements and extensions that you will learn all about in this talk: 2x NoSQL injection and 2x typosquatting challenges! Customization and re-branding of the shop to your own corporate look & feel! Juice Shop CTF extension makes setting up hacking events fast & easy! Free "Pwning the OWASP Juice Shop" eBook surpasses 150 pages of in-depth information, hints and solutions for all challenges and more! At AppSecEU the project was promoted into OWASP's "Lab Projects" maturity stage! You can now 3D-print your own Juice Shop merchandise! And much, much more - actually more than can be demonstrated in this 15min session, so best install the Juice Shop yourself afterwards and explore its capabilities yourself!

Online-Registrierung / Eintrittspreise
Preis: bei allen Tickets ist die Vorabendveranstaltung inbegriffen. Es hilft uns bei der Planung wenn ihr uns im Registrierungsformular unverbindlich mitteilt, ob ihr auch am Vorabend teilnehmt oder nicht. Der gültige Studentenausweis ist ungefragt beim Einlass vor Ort vorzulegen.
 * Regulär: 219,00 €
 * OWASP Member 199,00 € OWASP Member im German Chapter könnt ihr hier werden.
 * Studenten: 60,00 €. Hiermit sind Studenten gemeint, die ihr Ticket selbst bezahlen. Wir finanzieren diese Tickets quer. Selbständige oder Studenten, deren Ticket von einer Firma erstattet wird, zahlen bitte den regulären Betrag, auch wenn ein Studentenausweis vorliegt. OWASP ist eine Non-Profit Organisation und diese Tickets dienen der Nachwuchsförderung.

Es kann per Kreditkarte oder Rechnung (Vorkasse) bezahlt werden.

Hash tag

 * 1) owasp_d2017

