OWASP Stammtisch Karlsruhe

= Aktuell =

Der OWASP Stammtisch Karlsruhe findet normalerweise am ersten Montag im Monat um 19:00 Uhr statt. Wir wollen üblicherweise mit einem Vortrag bei einem Gastgeber (Unternehmen, öffentliche Einrichtungen, etc.) starten und danach zum gemütlichen Teil übergehen. Vortragsthema und Ort werden vor dem Stammtisch über die Mailingliste bekannt gegeben. Dort können auch gerne im Vorfeld Themenvorschläge diskutiert werden!

Nächstes Meetup
Beim 47. OWASP Treffen in Karlsruhe wird uns Matthias (https://twitter.com/_xhr_) zunächst ein kurzes Review der diesjährige 44con geben.

Im Anschluss daran präsentiert uns Martin (https://twitter.com/datenkeller) den Vortrag "Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs" vom kommenden German OWASP Day (https://www.owasp.org/index.php/German_OWASP_Day_2017).

Um den Abend gemütlich ausklingen zu lassen geht es danach ins nahegelegene Vogelbräu.

Wegbeschreibung

Der Vortrag findet dieses mal wieder im Entropia statt.

In der Stadtmitte von Karlsruhe im Hinterhof der Steinstraße 23 (im Stadtplan am Lidellplatz, nördlich der Kriegsstraße/B10 und westlich der Fritz-Erler-Straße). An dem Hinterhof kann man leicht vorbeilaufen, man sieht von Lidellplatz erstmal nur ein relativ grosses Tor. (Sollte dieses abgeschlossen sein, einfach im Club anrufen.) Wenn man durch das Tor durchgeht, sieht man zuerst eine Töpferei und dann rechts eine Fahrradwerkstatt. Gegenüber vom Querfunk im Bau West, im 1. OG befindet sich das Entropia. Nach der Treppe müsst ihr durch eine Tür und folgt dem Gang nach links bis zum Ende.

Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs

Abstract: Cross-Site Request Forgery (CSRF) vulnerabilities are a severe class of web vulnerabilities that have received only marginal attention from the research and security testing communities. While much effort has been spent on countermeasures and detection of XSS and SQLi, to date, the detection of CSRF vulnerabilities is still performed predominantly manually.

In this talk, we present Deemon, to the best of our knowledge the first automated security testing framework to discover CSRF vulnerabilities. Our approach is based on a new modeling paradigm which captures multiple aspects of web applications, including execution traces, data flows, and architecture tiers in a unified, comprehensive property graph. We present the paradigm and show how a concrete model can be built automatically using dynamic traces. Then, using graph traversals, we mine for potentially vulnerable operations. Using the information captured in the model, our approach then automatically creates and conducts security tests, to practically validate the found CSRF issues. We evaluate the effectiveness of Deemon with 10 popular open source web applications. Our experiments uncovered 14 previously unknown CSRF vulnerabilities that can be exploited, for instance, to take over user accounts or entire websites.

Infos über vergangene Meetings gibt es im .

= Archiv =

46. OWASP Stammtisch Karlsruhe vom 07.08.2017
Am Montag den 11.09.2017 findet der nächste OWASP Stammtisch in Karlsruhe statt. Wir treffen uns um 19:00 Uhr in den Räumlichkeiten der 1&1 Internet SE:"Ernst-Frey-Straße 10 Raum 0201 76135 Karlsruhe"

Dort werden uns Stean und zai vom diesjährigen Hacker Summer Camp (BSidesLV, Defcon, ZeroG, Black Hat) in Las Vegas berichten. Vielleicht werden auch noch die ein oder andere Anekdote von der Bundesdatenschau (MRMCD) oder der SHA-2017 eingestreut.

Anschließend werden wir den Abend wieder gemütlich im Kühlen Krug ausklingen lassen. Anmeldungen bitte über Meetup, Doodle, E-Mail oder einen anderen Weg eurer Wahl!

45. OWASP Stammtisch Karlsruhe vom 07.08.2017
Am kommenden Montag, den 07.08.2017 steht wieder ein OWASP Stammtisch in Karlsruhe an. Aufgrund des Sommerlochs werden wir dieses Mal ohne Vortrag gleich zum gemütlichen Teil des Abends übergehen. Frei nach dem alten Motto "Biertrinken für die Sicherheit" werden wir uns ab 19:00 Uhr im Kühlen Krug einfinden.

Wer Lust hat mitzukommen, möge sich bitte mit einem Pseudonym seiner/ihrer Wahl im Doodle eintragen, damit ich am Montagmittag entsprechend einen Tisch reservieren kann: https://beta.doodle.com/poll/xu6hxw52smubk7qs

Ich hoffe, ein paar bekannte und/oder neue Gesichter begrüßen zu dürfen.

Habt ein schönes Wochenende und bis Montag!

44. OWASP Stammtisch Karlsruhe vom 03.07.2017
Der nächste Karlsruher OWASP Stammtisch findet am '''03. Juli wie gewohnt um 19:00 Uhr''' statt.

Diesmal in den Räumlichkeiten des Entropia e.V: "Steinstraße 23 76133 Karlsruhe"

Eine Wegbeschreibung findet sich unter https://entropia.de/Anfahrt

Zuerst wird uns JackMcCrack eine Führung durch die Räumlichkeiten des örtlichen CCC-Erfas geben. Im Anschluss folgt ein Talk von zai über Mobile Application Security, der im Wesentlichen die OWASP Mobile Projekte zusammenfasst.

Danach werden wir spontan entscheiden, ob wir im Entropia verweilen oder uns am nahegelegenen Marktplatz ein gemütliches Lokal suchen.


 * https://www.meetup.com/de-DE/owasp-karlsruhe/

43. OWASP Stammtisch Karlsruhe vom 12.06.2017
Damit ist es mir eine Freude den nächsten Stammtisch für den 12. Juni um 19:00 Uhr anzukündigen. Wir werden uns wieder in den Räumlichkeiten der 1&1 Internet SE in der Ernst-Frey-Str. 10 treffen.

Achim und zai werden dabei von der AppSec EU berichten und die (unserer Meinung nach) spannendsten Talks kurz zusammenfassen.

Anschließend geht es wie gewohnt in den Kühlen Krug, wo ihr bei dem warmen Wetter das ein oder andere Kaltgetränk genießen könnt.

Da wir für den Gebäudewachdienst eine Namensliste benötigen, würden wir uns über Vorabanmeldungen via Meetup, Doodle oder einem Kommunikationsweg eurer Wahl freuen.

Die Links dazu:
 * https://www.meetup.com/owasp-karlsruhe/events/240372050/
 * https://beta.doodle.com/poll/cwtt7vv45nitb3rt

42. OWASP Stammtisch Karlsruhe vom 08.05.2017
Diesmal in den Räumlichkeiten der Smarthouse GmbH: "Smarthouse Media Hirschstr. 2 1.OG (Empfang) Raum 0201 76135 Karlsruhe"

Zu diesem Jubliäum wird Andreas Sperber einen Vortrag mit dem Titel Vertrauen ist gut, Kontrolle ist besser zum Thema Vertrauensprobleme der Web-PKI mitbringen, der als Einladung für eine anschließende Diskussion dient.

Anschließend ist ein Tisch im Badisch Brauhaus reserviert, für alle die danach noch Lust haben, den Abend ausklingen zu lassen.

Zur besseren Planung würde ich euch wieder bitten, per Meetup, Doodle oder einem Kommunikationsweg eurer Wahl Bescheid zu geben, ob ihr kommt. Die Links dazu:
 * https://www.meetup.com/de-DE/owasp-karlsruhe/
 * http://doodle.com/poll/cdyk48f6u2p49vs9

41. OWASP Stammtisch Karlsruhe vom 10.04.2017
Stammtisch um eine Woche auf den 10. April verschoben!

Der nächste Karlsruher OWASP Stammtisch findet dieses Mal eine Woche später, am '''10. April wie gewohnt um 19:00 Uhr''' statt, in den bekannten Räumlichkeiten der 1&1:"Ernst-Frey-Straße 10 Raum 0201 76135 Karlsruhe"

Als Thema werden uns Henrik Willert und Martin Johns vom Chapter Meeting berichten, das am 31. März in München stattgefunden hat. Zudem wird Martin eine Einführung dem Titel Short History of Web Security halten.

Anschließend ist wieder ein Tisch im Kühlen Krug reserviert, für alle die danach noch Lust auf einen Absacker haben.

Zur besseren Planung würde ich euch wieder bitten, per Meetup, Doodle oder einem Kommunikationsweg eurer Wahl Bescheid zu geben, ob ihr kommt. Die Links dazu:
 * https://www.meetup.com/de-DE/owasp-karlsruhe/events/238897121/
 * https://doodle.com/poll/tvttddwm5hzkv3xa

40. OWASP Stammtisch Karlsruhe vom 06.03.2017
Der nächste Karlsruher OWASP Stammtisch findet am Montag, den 06.03.2017 um 19:00 Uhr statt. Wir werden uns wieder in den Räumlichkeiten der 1&1 Internet SE in der Ernst-Frey-Str. 10 treffen.

Als Thema wird uns Djelloul Belarbi Möglichkeiten für ein Continious Security Testing vorstellen.

Wer möchte, kommt im Anschluss mit zum Kühlen Krug, um den Abend gemütlich ausklingen lassen.

Da wir für den Wachdienst eine Namensliste benötigen, würden wir uns über Vorabanmeldungen via Meetup, Doodle oder einem Kommunikationsweg eurer Wahl freuen. Die Links dazu:
 * https://www.meetup.com/de-DE/owasp-karlsruhe/events/238030267/
 * http://doodle.com/poll/fumdyucymefdmzkf

39. OWASP Stammtisch Karlsruhe am 06.02.2017
Am kommenden Montag, den 06.02.2017, wird es um 19:00 Uhr wieder einen OWASP Stammtisch in Karlsruhe geben.

Wir werden uns in den Räumlichkeiten der 1&1 Internet SE in der '''Ernst-Frey-Str. 10''' treffen.

Den Vortrag bestreitet dieses Mal Patrick Spiegel mit dem Thema "NoSQL Injection revisited". Im Anschluss daran können wir wieder gemeinsam zum Kühlen Krug spazieren und den Abend gemütlich ausklingen lassen.

Da wir für den Wachdienst eine Namensliste benötigen, würden wir um via Meetup, Doodle oder einem Kommunikationsweg eurer Wahl bitten :) Die Links dazu:
 * https://www.meetup.com/owasp-karlsruhe/events/237377308/
 * http://doodle.com/poll/yr622e9vr296bn84

Anbei noch der Abstract zum Talk und ich freue mich auf ein Wiedersehen nächste Woche!

''In the last decade many new challenges, such as big data, changed the way we build applications. The generation of emerging NoSQL databases provides a solution for these challenges. But does it provide security? Regarding injection, there exists a prevalent opinion: “We are not building queries from strings, so we do not have to worry about injection vulnerabilities! “''

''This presentation gives an overview of NoSQL injection attacks and therefore takes a look at some of the most widespread NoSQL databases - MongoDB, Redis, CouchDB and Memcached. Considered along with typical application layers and drivers, the semantics of the query languages can be examined. Starting from known vulnerabilities, new attack vectors for the mentioned databases are introduced. With the full technology stack in mind, payloads for different kind of requests can be crafted, that allow the altering of parameter’s object structure. As a result, the semantics of query parameters are changed and therefore unintended behavior of the database can be achieved. The presented attacks will be accompanied by multiple practical demonstrations. In the end, an approach for NoSQL injection mitigation is briefly outlined.''

38. OWASP Stammtisch Karlsruhe am 09.01.2017
Der erste Stammtisch 2017 ist für den 09.01. geplant. Thema wird der CCC in Hamburg sein, der zur Zeit stattfindet. Einige von uns sind vor Ort und haben bereits angeboten von dem Event zu berichten.

Weitere Infos folgen!

37. OWASP Stammtisch Karlsruhe am 12.12.2016
Stammtisch um eine Woche auf den 12.12. verschoben!

Wie schon geschrieben, findet der Dezember Stammtisch am Montag, den 12.12. statt. Dafür haben wir gleich drei Teilnehmer, die für den fachlichen Teil des Abends sorgen: Henrik, Martin und Stefan haben sich bereit erklärt, uns vom *German OWASP Day* zu erzählen, der am 29.11 in Darmstadt stattgefunden hat.

Zudem werden sie uns vom berichten, welche Themen auf dem *German Chapter Meeting* beschlossen und besprochen wurden.

Location ist erneut die 1&1 Internet SE

Ernst-Frey-Str. 10  Meeting Raum im Foyer Uhrzeit wie immer 19:00

Für den geselligen Teil des Abends reserviere ich uns einen Tisch im nahe gelegenen EL29 (http://www.el29.de/).

36. OWASP Stammtisch Karlsruhe am 07.11.2016
wir planen den nächsten OWASP-Stammtisch in Karlsruhe für Montag, den 07.11.2016, ab 19:00 Uhr.

Dieses Mal wieder in den Räumlichkeiten der 1&1 Internet SE in der

Ernst-Frey-Strasse 10, Raum 0201 im EG.

Wie üblich werden wir alle vor der Tür einsammeln :)

Als Speaker haben wir dieses Mal Bastian Braun mit dem Thema "Anti-Automatisierungslösungen: Theorie und Praxis".

Ein kurzer Abstract: Die OWASP Automated Threats to Web Applications beschreiben sehr gut und gründlich die Bedrohungen für Webanwendungen durch automatisierte Angriffe. In diesem Vortrag sollen Erfahrungen bei der Implementierung von Gegenmaßnahmen aus der industriellen Praxis beschrieben werden.

Das macht neugierig! Tragt euch bitte für die Organisation mit unserem Wachschutz mit Vor- und Nachnamen in das private Doodle ein:

http://doodle.com/poll/8k7sc6eewvec5r6f

Wer kein Doodle benutzen möchte kann mir seinen Namen kurz formlos via E-Mail schicken. Anschließend an den Talk würden wir den Abend wieder gemütlich im Kühlen Krug ausklingen lassen.

In Vorfreude auf einen informativen und geselligen Abend, --zai

35. OWASP Stammtisch Karlsruhe am 10.10.2016
Hinweis: Regulärer Stammtischtermin (03.10.) wegen Feiertag auf Montag 10.10. verschoben.

Wie ihr sicher schon vermutet habt hat am Montag kein Stammtisch stattgefunden, da Feiertag war. Stattdessen ist der Termin jetzt um eine Woche auf Montag den 10.10. verlegt.

Zudem haben wir derzeit Probleme mit der Mailingliste. Aktuell ist ein Workaround implementiert und ich hoffe diese Mail erreicht euch. Da unklar war, wieviele so kurzfristig kommen können haben wir diesmal auch keinen Vortrag geplant.

Wir treffen uns also ganz agile und agendaless um im Vogelbräu bei dem ein oder anderen Bier über Websicherheit und Mailinglisten zu philosophieren.

Uhrzeit: Wie immer 19:00 Treffpunkt: Vogel Karlsruhe http://www.vogelbraeu.de/karlsruhe/lageplan.html

34. OWASP Stammtisch Karlsruhe am 05.09.2016
Liebe Freunde der Sicherheit,

nachdem der Stammtisch im August leider ausgefallen ist, findet nun am Montag, den 05.09. der 34. Karlsruher OWASP-Stammtisch statt. Wie immer um 19:00 Uhr.

Zai wird uns von der diesjährigen DefCon und den dort präsentierten Vorträgen berichten.

Die Location ist diesmal die Siemens AG (danke Stephan!):

Siemens AG  Building Technologies Division Siemensallee 84 76187 Karlsruhe

Eine Anfahrtsskizze findet ihr hier: http://www.automation.siemens.com/khe/extern/stokhe/ihr_weg_zu_uns/Anfahrt_Lageplan_de.pdf

Wir treffen uns wie beim letzten Mal an der Nordpforte (Nr. 2 in der Skizze) um 19:00

Falls es keine Gegenvorschläge gibt, würde ich uns für danach einen Tisch im Brauhaus 2.0 (http://www.brauhaus-20.de/) reservieren!

Bitte tragt euch für die weitere Planung (es müssen Besucherausweise vorbereitet werden) und zwecks Reservierung für in das Doodle ein:

http://doodle.com/poll/faemkxdgrq96qh9k

Wer Doodle nicht benutzen möchte kann mir auch kurz per Mail Bescheid geben.

Viele Grüße und bis bald!

33. OWASP Stammtisch Karlsruhe am 04.07.2016
Hallo zusammen,

wir planen gerade den nächsten OWASP-Stammtisch in Karlsruhe für den kommenden Montag (04.07.2016) ab 19:00 Uhr.

Dieses Mal wieder in den Räumlichkeiten der 1&1 Internet AG in der

Ernst-Frey-Strasse 10, Raum 0201 im EG.

Wie üblich werden wir alle vor der Tür einsammeln  Tragt euch bitte für die weitere Planung - auch zwecks anschliessendem Besuch im Kühlen Krug - in das Doodle ein:

http://doodle.com/poll/bv9ym3futd4b3z5w

Als Speaker hätten wir dieses Mal Herrn Dr. Safuat Hamdy mit dem Thema "Erfahrung mit dem OWASP ASVS und dem Testing Guide bei Wep-App-Tests".

Viele Grüsse und bis nächste Woche!

--zai

32. OWASP Stammtisch Karlsruhe am 13.06.2016
wir planen gerade den nächsten OWASP-Stammtisch in Karlsruhe. Entgegen unseres regulären Rhythmus würde die Veranstaltung dieses mal am *zweiten* Montag des Monats, also am 13.06.2016 stattfinden.

Uhrzeit wie üblich 19:00 Uhr. Beim üblichen Slot waren die Vortragenden leider verhindert.

Dieses Mal wieder in den Räumlichkeiten der 1&1 Internet AG in der

Ernst-Frey-Strasse 10, Raum 0203A-C im EG.

Wie üblich werden wir alle vor der Tür einsammeln :) Tragt euch bitte für die weitere Planung - auch zwecks anschliessendem Besuch im Kühlen Krug - in das Doodle ein:

http://doodle.com/poll/hc8mx97m8tp37btk

Als Speaker hätten wir dieses Mal Daniel und René, die uns eine Vorschau auf ihren diesjärigen AppSec EU Vortrag geben werden.

Titel: Addressing Security Requirements in Development Projects Einen Abstract gibt es auf der Seite der AppSec EU: https://appseceurope2016.sched.org/event/6XQ5/addressing-security-requirements-in-development-projects

Evtl. steht noch ein zweiter Vortrag in Aussicht. Dann könnte man sich überlegen, statt Kühlem Krug auf Pizza vor Ort umzuschwenken.

31. OWASP Stammtisch Karlsruhe am 04.04.2016
Am kommenden Montag, den 04.04.2016 ist wieder OWASP-Stammtisch.

Wo: 1&1, Ernst-Frey-Str. 10 im EG   Wann: Wie immer geht es um 19 Uhr los

Diesmal erzählt euch Constantin und ich eine kleine Zusammenfassung der IT-Defense.

Damit das Wachpersonal von der 1&1 nicht überrascht ist, bitten wir um eine Eintragung ins Doodle: http://doodle.com/poll/sa449zuvnniq2x94 Falls jemand noch spontan kommen möchte oder spontan jemanden mitbringen möchte können wir euch auch noch vor Ort eintragen.

30. OWASP Stammtisch Karlsruhe am 07.03.2016
Diesmal bringt uns Ives Laaf von der Smarthouse Media einen Kurzvortrag über das Thema "HTTP-'Security'-Header' mit.

Als Basis dient: https://www.owasp.org/index.php/List_of_useful_HTTP_headers

Der Vortragsteil des Stammtisches wird diesmal bei der Smarthouse Media stattfinden. Es gibt Café, Saft und auch gern ein kühles Bier vor Ort.

Anschließend können wir z.B. ins Badisches Brauhaus oder ander Lokalitäten rund um Ludwigsplatz / Postgalerie etc. pp. Falls jemand andere Vorschläge hat, schreibt gerne.

Parkmöglichkeiten leider nur reduziert direkt vorhanden bzw. mit Parkmaut oder Parkhaus in der Nähe (Saturn).

Raum und Zeit: Montag, 7. März, 19:00 Uhr Smarthouse Media in der Hirschstr. 2 - 1.OG (Empfang)

Zwecks Reservierungen, gebt bitte kurz an, falls ihr kommt: https://dudle.inf.tu-dresden.de/privacy/owasp-ka-st30/

Nachträge:

HTTP Security Headers - Overview https://www.owasp.org/index.php/List_of_useful_HTTP_headers

Testing for Headers https://securityheaders.io/?q=https%3A%2F%2Fsecurityheaders.io%2F%3Fq%3Dhttps%3A%2F%2Femail.t-online.de%2Fem

Testing for Security Issues with dotNet based web apps https://asafaweb.com/Home/Scans

How (not) to use the headers https://www.veracode.com/blog/2014/03/guidelines-for-setting-security-headers

HSTS https://hstspreload.appspot.com/ - preload registration for hsts

http://www.heise.de/security/artikel/Security-Funktion-HSTS-als-Supercookie-2511258.html - Site Channel Attacks with HSTS Headers; Supercookie

http://caniuse.com/#search=hst - Browser Functionality Support - mainly Javascript & CSS Features but also for some headers like HSTS

HPKP Links https://timtaubert.de/blog/2014/10/http-public-key-pinning-explained/ - some information about hpkp

https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning - owasp hpkp details page

Certificate Transparency https://www.certificate-transparency.org/ - who issued what certificates for which domains, helps detecting rough ca's / certificates

https://crt.sh/ - check your certs via transparency informations

Monitoring / Breaches https://haveibeenpwned.com/ - check if your account or accounts of your domains got into any breach lists / pastebins / etc. pp.

29. OWASP Stammtisch Karlsruhe am 01.02.2016
Unser nächster Stammtisch findet im Februar, den 01.02, um 19:00 in den Räumen der Siemens AG statt. Martin Johns wird uns über seine Arbeit zu WebRTC berichten (https://appsecusa2015.sched.org/event/46Cd/webrtc-or-how-secure-is-p2p-brow ser-communication).

Der Zugang zum Gelände ist eingeschränkt. Ich muss euch vorher namentlich anmelden und ihr werdet euch am Empfang ausweisen müssen. Bitte meldet euch daher vorher namentlich mittels http://doodle.com/poll/khp7u7duy6629gmi#table oder per Mail bei mir an.

Die Anschrift ist:

Siemens AG   Building Technologies Division Siemensallee 84 76187 Karlsruhe

Eine Anfahrtsskizze findet ihr hier: http://www.automation.siemens.com/khe/extern/stokhe/ihr_weg_zu_uns/Anfahrt_L ageplan_de.pdf Wir sind im Raum 03.06.39

Wir treffen uns an der Nordpforte (Nr. 2 in der Skizze) um 19:00.

Falls jemand bei der Pforte fragt: Ansprechpartner bin ich (Stephan Engel, BT SSP) und das Event heißt OWASP.

28. OWASP Stammtisch Karlsruhe am 11.01.2016
Ich hoffe ihr seid gut ins neue Jahr gestartet und habt schöne Weihnachtsfeiertage verbracht!

Wie angekündigt findet der nächste Stammtisch kommenden Montag, den 11.01.2016 statt. Wie immer um  19 Uhr. Und wieder einmal bei der 1&1, Ernst-Frey-Str. 10 im EG.

Leider konnte ich so kurzfristig keine alternative Location finden - vielleicht klappt es beim nächsten Mal!

Diesmal wird es um den 32C3 gehen, der zwischen den Jahren in Hamburg stattgefunden hat. Dankenswerter Weise haben Stefan, Henrik und Matthias angeboten vom Kongress zu berichten und einzelne Vorträge nochmal für uns wiederzugeben.

Alle die Lust haben, kommen anschließend noch mit zum Kühlen Krug!

Um eine Gästeliste für das Wachpersonal bei der 1&1 zu haben, würde ich euch bitten, euch hier kurz bei Doodle einzutragen. http://doodle.com/poll/usbug5rx2e9vy55x Falls jemand noch spontan kommen möchte oder spontan Kollegen und Freunde mitbringt: Das sollte auch kein Problem sein. Die tragen wir dann vor Ort ein.

27. OWASP Stammtisch Karlsruhe am 07.12.2015
am 07.12. steht der letzte Stammtisch für dieses Jahr an. Henrik und ich würden vom diesjährigen German OWASP Day erzählen, der am Dienstag in Frankfurt stattfindet. Dabei werden wir sicher auch nochmal auf die Inhalte von ein paar Vorträgen eingehen.

Location ist diesmal wieder die 1&1 in der Ernst-Frey-Str. 10. Der Raum 0202 im Eingangsbereich. Uhrzeit: Wie immer 19:00 Uhr

Es wäre nett, wenn ihr hier ein Kreuzchen machen könntet, falls ihr kommt:

Was haltet ihr davon, anschließend noch auf den Weihnachtsmarkt zu fahren und uns dann bei Glühwein und Langos in die Feiertagszeit zu verabschieden? Direkt hinter dem 1&1-Gebäude fährt die 1 zur Herrenstraße, wir könnten also recht einfach dort hinkommen.

26. OWASP Stammtisch Karlsruhe am 02.11.2015
Diesmal bringen uns Axel Hoffmann von der 1&1 und Michael Ströder jeweils einen Kurzvortrag über das Thema "One-Time Passowords & Yubikey & LDAP" mit. Ein Abstract ist auf den Seiten der diesjährigen LDAPCon zu finden:

Der Vortragsteil des Stammtisches wird diesmal bei der 1&1 stattfinden. Anschließend werden wir noch ins EL29 beim ZKM gehen.

Raum und Zeit: Montag, 2. November, 19:00 Uhr 1&1 in der Ernst-Frey-Str. 10 Raum 0202 (EG)

Zwecks Reservierungen, gebt bitte kurz an, falls ihr kommt:

25. OWASP Stammtisch Karlsruhe am 05.10.2015
Für den Oktober-Stammtisch am 05.10. hat uns Maximilian Schempp angeboten, zu berichten, wie er automatisiert Injection-Schwachstellen in Webanwendungen erkennen kann. Mit diesem Thema hat er sich nämlich im Rahmen seiner Master-Thesis Enabeling End-To-End Taint Tracking for Web Applications for Detecting and Preventing Injection Vulnerabilites beschäftigt. Der Vortrag ist gleichzeitig seine Verteidigung - also benehmt euch :) Wer mehr Infos sucht findet den Abstract seiner Arbeit unten. tl;dr: Montag, 05. Oktober, 19 Uhr SAP Vincenz-Prießnitz-Straße 1, Karlsruhe Raum R1.14

Danach sollten wir noch auf Max' Abschluss der Master-Thesis anstoßen. Mein Vorschlag wäre mal die Oktave auszuprobieren: http://www.oktave-karlsruhe.de/. Die ist neben dem Gold und fußläufig von SAP erreichbar. Hat da schon jemand Erfahrungen? Falls es Gegenvorschläge oder Vetos gibt, meldet euch bitte bis Mittwoch, danach würde ich uns dort einen Tisch reservieren.

Wichtig: Hier bei Doodle eintragen, damit Max und die Oktave sich bei der Tischplanung auf uns einstellen können:

Der Abstract zur Arbeit: This thesis describes the implementation of a debugging tool, which allows the user to easily find and detect code injection bugs in Node.js applications on the server side. To implement this tool, a technique called taint tracking was used, which allows the tracking of certain data through the code of any application, which runs on a platform supporting taint tracking. The taint tracking was implemented in Node.js by using an already existing, modified version of the underlying JavaScript engine V8. To implement the tool various changes of the existing Node.js platform and underlying software modules had to be done. To persist and present the found injection bugs, a REST service was created, which receives the information about the injection bugs from the modified Node.js platform. Furthermore a communication protocol was implemented, which allows the server to transmit important metadata used in the implemented taint tracking technique from the server to a modified browser (which also implements taint tracking), which then processes the metadata from the server to continue the taint tracking in the browser on the client side. To evaluate the correctness of the implemented tool, various Node.js applications were tested with the implemented debugging tool.

24. OWASP Stammtisch Karlsruhe am 07.09.2015
Für dieses Mal haben wir keinen Vortrag. Aber wir treffen uns im Pizzahaus zum Biertrinken auf die Sicherheit!

Wie immer 19h. Wer dabei ist bitte hier eintragen: http://doodle.com/poll/7qzf39853qg4yuqf

23. OWASP Stammtisch Karlsruhe am 06.07.2015
Hi Mailingliste,

am nächsten Montag, den 06.07.2015, ist es wieder soweit. Um 19:00 findet der Karlsruher OWASP Stammtisch diesmal bei

1&1 Ernst-Frey-Str. 10 EG, Raum 0203 A - C

statt. Dabei werde ich meine persönlichen Highlights der diesjährigen Hack In The Box (Amsterdam) vorstellen.

Wer dabei sein möchte trägt sich bitte im verlinkten Doodle ein. Im Anschluss würden wir wieder in den Kühlen Krug ziehen, um den Abend gemütlich ausklingen zu lassen.

Doodle: http://doodle.com/vt3v57p6mmap5kqm

Grüße und bis nächste Woche! --zai

22. OWASP Stammtisch Karlsruhe am 01.06.2015
Letzte Woche ist eine großartige OWASP AppSec EU zu Ende gegangen. Wie angekündigt werden ein paar von uns, die vor Ort waren, nochmal von ihren persönlichen Highlights/Talks berichten.

Die Location ist diesmal an der Hochschule Karlsruhe (danke Tristan!)

Moltkestr. 30 Gebäude E Raum E304

Die Raumnummer schreibe ich nochmal rum, sobald wir die haben. Wenn ich dran denke hänge ich auch im Gebäude Zettel auf.

Das Datum ist, wie immer, der erste Montag im Monat, also diesmal der

1.6. um 19:00h

Anschließend würde ich vorschlagen, wieder ins Badisch Brauhaus zu gehen und den Abend bei einem gemütlichen Feierabend-Bier ausklingen zu lassen. Das Brauhaus ist fußläufig erreichbar.

Wenn ihr kommt, tragt euch am besten bei der obligatorischen Doodle-Umfrage ein, damit wir ausreichend Plätze reservieren können: http://doodle.com/ziz9x6b6m3cpag32

Ich freue mich, euch nächsten Montag zu sehen!

21. OWASP Stammtisch Karlsruhe am 04.05.2015
Der kommende Stammtisch findet am Montag, den 4.5., um 19:00 Uhr statt. Wir treffen uns im Pizzahaus (Rintheimer Straße 2) und plaudern über das vergangene Chapter Meeting des Deutschen OWASP Chapters.

20. OWASP Stammtisch Karlsruhe am 02.03.2015
Der Stammtisch fand am

Montag den 13.4. um 19h

statt. Treffpunkt ist das

Badisch Brauhaus Stephanienstraße 38-40 76133 Karlsruhe

Zwecks ausreichender Reservierung bitter hier eintragen: http://doodle.com/55xk4r2bwzgzemqi

Falls jemand etwas präsentieren möchte bitte auf der Mailingliste (siehe oben) melden, damit wir wegen Räumlichkeiten schauen können.

19. OWASP Stammtisch Karlsruhe am 02.03.2015
Dieses Mal wieder in den Räumlichkeiten der 1&1 Internet AG in der

Ernst-Frey-Strasse 10, Raum 0203A-C im EG.

Wie üblich werden wir alle vor der Tür einsammeln :) Tragt euch bitte für die weitere Planung - auch zwecks anschliessendem Besuch im Kühlen Krug - in das Doodle ein:

http://doodle.com/gadtummsqqbfqn2c

Thema wird dieses Mal "Freifunk" sein. Es ist kein klassisches OWASP-Thema, allerdings ist die Schnittmenge zwischen Freifunkern und Security-Menschen doch recht gross. Es geht primär um das Wann, Wie und Wo des Freifunks und ich werde versuchen euch dahingehend zu erleuchten

18. OWASP Stammtisch Karlsruhe am 02.02.2015
Stephan hat uns etwas zu Network-Sercurity erzählt

- Grundlagen: - Ausgewählte Angriffe auf:
 * OSI Layer
 * MAC u. IP addressing
 * Routing
 * MAC
 * ARP
 * DHCP
 * IP
 * DNS

17. OWASP Stammtisch Karlsruhe am 12.01.2015
12. Januar, 19 Uhr

SAP Karlsruhe Vincent-Prießnitz-Str. 1

Sebastian Lekies hat angeboten uns etwas zu ECMAScript6 und den kommenden Features in JavaScript zu erzählen bzw. ein paar Beispiele zu zeigen.

Wer Lust hat, kommt anschließend noch mit zum Pizzahaus. Das ist nur ein paar Ecken weiter und fußläufig erreichbar.

Falls ihr kommt, wäre es nett wenn ihr euch zwecks Planung noch in Doodle verewigen würdet: http://doodle.com/ct3q4ubidkaaykxg

16. OWASP Stammtisch Karlsruhe am 01.12.2014
Am Montag, den 1. Dezember findet wieder der Karlsruher OWASP-Stammtisch statt. Michael Ströder (http://stroeder.com/) stellt uns diesmal ein Projekt zur Benutzer-Authentifizierung mittels LDAP vor. Treffpunkt ist:

1&1 Karlsruhe Ernst-Frey-Str. 10 EG (Raum 0203) Uhrzeit wie immer: 19 Uhr

Wenn sich genug Leute finden, die Lust haben, können wir anschließend noch auf den Weihnachtsmarkt gehen, um dort gemeinsam noch einen Glühwein zu trinken.

15. OWASP Stammtisch Karlsruhe am 03.11.2014
Am 03. November, findet wieder der Karlsruher OWASP-Stammtisch statt. Matthias Huber vom FZI stellt uns diesmal Räumlichkeiten zur Verfügung. Marius Musch wird uns etwas zum Thema "Security Problems of Open Redirects" erzählen. Treffpunkt ist:

FZI Karlsruhe Haid-und-Neu-Straße 10-14 Besprechungsraum: "Berlin" Uhrzeit: 19 Uhr

Falls ihr mit der Tram kommt, ist die Haltestelle Karl-Wilhelm-Platz für euch am nächsten gelegen.

Anschließend ist ein Tisch im Gold für uns reserviert.

Zwecks Planung gebt auch bitte Bescheid ob ihr kommt: http://doodle.com/5avrv2wrwi4v8657

14. OWASP Stammtisch Karlsruhe am 06.10.2014
Henrik (@zailynch) und Rolf(@script_alert_1) werden etwas zum Thema "Ruby on Rails & Security Concepts" erzählen und zeigen. In der ersten Hälfte wird es eine kurze Einführung in Ruby und das Webframework Rails geben und in der zweiten Hälfte schauen wir uns dann an, welche Sicherheitskonzepte hier zum Einsatz kommen. Natrürlich mit Live-Coding

Die Location ist die 1&1 in der Ernst-Frey-Str. 10. Los geht's um 19 Uhr.

Wer Lust hat kommt anschließend noch mit zum Kühlen-Krug, um ein paar Bier auf die Sicherheit zu trinken

13. OWASP Stammtisch Karlsruhe am 01.09.2014
Der 13. Karlsruhe OWASP-Stammtisch findet am 01.09.2014 um 19 Uhr statt. Diesmal werden wir wegen des Sommerlochs keinen Vortrag einplanen, sondern uns zum solidarischen Biertrinken für die Sicherheit treffen.

Als Location ist das Sockenschuss vorschlagen. Alternative Vorschläge können aber auch gerne über die ML gemacht werden. Ein paar Tage vorher gibt es einen Reminder mit der endgültigen Location. Zwecks Reservierung bitte hier eintragen: http://doodle.com/vzsi6q3472aer9uh

12. OWASP Stammtisch Karlsruhe am 04.08.2014
Der nächste OWASP-Stammtisch in Karlsruhe findet am 04.08. um 19:00h in den Räumlichkeiten von Secorvo (Ettlinger Str. 12-14, 76137 Karlsruhe) statt. Für die Planung, meldet Euch bitte unter http://doodle.com/pmvqsffiw7uk2na4 an. Nach einem Vortrag werden wir dann in eine Kneipe in der Nähe wechseln.

11. OWASP Stammtisch Karlsruhe am 07.07.2014
Der nächste OWASP-Stammtisch in Karlsruhe findet am 07.07. um 20h statt. Es gibt vorher einen Vortrag und danach lassen wir den Abend in einer Kneipe ausklingen. Die Räumlichkeiten stellt dieses Mal die 1&1 Internet AG in der Ernst-Frey-Strasse 10.

Da wir Wachpersonal vor Ort haben und Besucherausweise ausstellen müssen, brauchen wir bis zum 03.07. eine möglichst genaue Teilnehmerliste. Ist auch ganz praktisch zum "Tisch danach" bestellen. Tragt euch bitte in das folgende Doodle ein. Nachzügler können wir auch vor Ort verarzten :)

[http://doodle.com/phd2wqh8epevcccy Doodle-Umfrage 11. Stammtisch OWASP Karlsruhe]

Der Vortrag geht diesmal um BREACH (http://breachattack.com/), einen Angriff gegen die Vertraulichkeit von SSL verschlüsselten Verbindungen. Auf der der BlackHat 2013 wurde er von Angelo Prado, Neal Harris und Yoel Gluck zum ersten mal der Öffentlichkeit vorgestellt. BREACH zeigt eindrucksvoll wie der falsche Einsatz von kryptografischen Verfahren zur Kompromittierung eines Kryptoprotokolls führen kann. Dieser Vortrag gibt einen technischen Einblick in den Angriff und diskutiert Gegenmaßnahmen.

Die Folien sind hier verfügbar:

10. OWASP Stammtisch Karlsruhe am 02.06.2014
Der 10. Karlsruher OWASP Stammtisch findet am 02.06.2014 um 20:00 Uhr bei SAP Research, Vincenz-Prießnitz-Straße 1, 76131 Karlsruhe statt. Wir werden mit einem Vortrag und einer thematischen Diskussion starten (Thema wird noch bekannt gegeben) und danach dann zum gemütlichen Teil in eine nahegelegene Kneipe wechseln. Da der Raum bei SAP zutrittsbeschränkt ist, werden wir am Eingang Informationen aushängen wie man den Stammtisch findet. Es wäre aber schön, wenn sich möglichst viele um 20:00 Uhr dort einfinden könnten und wir gemeinsam reingehen könnten.

9. Pizza-Essen für die Sicherheit am 05.05.2014
Der 9. Karlsruher OWASP Stammtisch findet am 05.05.2014 um 20:00 Uhr in der Pizzeria La Famiglia, Rechts der langen Richtstatt 6, 76149 Karlsruhe Neureut (http://goo.gl/maps/rI3bR). Mit der Straßenbahn fahrt Ihr mit der S1 oder S11 bis zur Haltestelle Welschneureuter Straße und seit dann zur Fuß in ca. 5-10 Minuten vor Ort. Im Vordergrund des Stammtisches steht die Vorbereitung des Entwicklertags Karlsruhe 2014. Ansonsten haben wir wohl endlich wieder eine Tafel, so dass wir wieder unsere Board and Chalk Talks starten können - immer her mit spannenden Themen!

8. Pizza-Essen für die Sicherheit am 24.10.2013
Am 24.10.2013 wollen wir uns um 20:00 Uhr im Restaurant l'incontro in der Leopoldstraße 3 in der Karlsruher Innenstadt treffen. Thematisch soll ein Schwerpunkt die Beteiligung des Karlsruher OWASP Stammtisches am Entwicklertag 2014 sein.

7. Zusammenhocken für die Sicherheit am 11.07.2013
Große Ereignisse werfen ihre Schatten voraus. Nach diesem Motto wollen wir uns noch einmal vor der AppSec Research 2013 in Karlsruhe treffen und über die Sicherheit von Anwendungen in einem gemütlichen Rahmen austauschen. Wir treffen uns am 11.07.2013 um 20:00 Uhr. Treffpunkt ist um 20:00 Uhr die Vereinsgaststätte des TC Neureut, Rechts der langen Richtstatt 6, 76149 Karlsruhe Neureut (http://goo.gl/maps/rI3bR). Mit der Straßenbahn fahrt Ihr mit der S1 oder S11 bis zur Haltestelle Welschneureuter Straße und seit dann zur Fuß in ca. 5-10 Minuten vor Ort. Das Lokal befindet sich nur ca. 100 m entfernt vom Treffpunkt des letzten Stammtisches.

6. Pizza-Essen für die Sicherheit am 13.12.2012
Fast genau zum Jahrestag des letzten Karlsruher OWASP-Stammtisch treffen wir uns am 13.12.2012 um 19:30 Uhr in der Pizzeria DaBenito in Karlsruhe-Neureut (Rechts der langen Richtstätt 4, 76149 Karlsruhe). Mit der S1 ist die Pizzeria über die Haltestelle "Welschneureuter Straße" am besten zu erreichen. Wir können einen kurzen Rückblick auf die letzten Konferenzen geben und einen Ausblick auf anstehende Aktivitäten in 2013. Vielleicht mag ja jemand fachlichen Input mitbringen - immer her damit!

5. Glühweintrinken für die Sicherheit am 15.12.2011
Zum Jahresabschluss soll noch ein letzter OWASP-Stammtisch in Karlsruhe stattfinden, auf dem wir über das letzte Jahr OWASP in Karlsruhe und allgemein reflektieren und philosophieren können. Es wäre schön, wenn wir mit den Erfahrungen dieses Jahres uns für das nächste Jahr etwas orientieren können. Weiterhin können wir auf einen erfolgreichen OWASP-Day zurückblicken und einen Kurzbericht über die Erfahrungen bei der Übersetzung der Top 10 geben.

Um in der hektischen Vorweihnachtszeit möglichst viele Teilnehmer zu gewinnen, haben wir den Termin per Doodle ermittelt: http://www.doodle.com/we5eqvx3eq3c7fnm.

Treffpunkt wird am Donnerstag, 15.12.2011 um 19:00 Uhr an der Pyramide am Marktplatz in KA sein. Je nach Wetter und Laune können wir dann das Treffen in eine der umliegenden Lokalitäten verlagern...

4. Biertrinken für die Sicherheit am 01.09.2011
Nachdem sich für das spontane 4. Biertrinken für die Sicherheit in Karlsruhe auf die Einladung auf der Mailing-Liste ein kleiner (aber feiner) Teilnehmerkreis gefunden hat, wird das Treffen am 01.09. um 19:00 Uhr in der Gaststätte Trompeter von Säckingen am Mühlburger Tor stattfinden. Das Restaurant ist direkt gegenüber von der Haltestelle Mühlburger Tor, die gefühlt von jeder Straßenbahn in Karlsruhe angefahren wird - die Parkplatzsituation ist in der Gegend nicht so toll. Ich freue mich auf das Wiedersehen und speziell auf den Besuch von Martin in Karlsruhe...

3. Biertrinken für die Sicherheit am 19.05.2011 (FÄLLT AUS)
Achtung: Ausfall - wegen zu vieler definitiver Absagen müssen wir den 3. Stammtisch leider ausfallen lassen...

Achtung: Terminverschiebung - mangels geeigneter Örtlichkeit muss der geplante 3. Stammtisch am 15.04.2011 in Karlsruhe leider um einen Monat verschoben werden!

Achtung: Ort gefunden! Am 19.05. treffen wir uns in der Pizzeria Da Benito in Karlsruhe-Neureut (Rechts der langen Richtstätt 4, 76149 Karlsruhe). Mit der S1 ist die Pizzeria über die Haltestelle "Welschneureuter Straße" am besten zu erreichen.

"Aller guten Dinge sind Drei." - unter diesem Motto wollen wir uns (dann jetzt) am Donnerstag, 19.05.2011 wieder um 19:30 in Karlsruhe treffen.

Beim letzten Mal hatten wir eine tolle "chalk and board"-Diskussion. Bitte bringt auch diesmal wieder gute Ideen hierfür mit:


 * Workshop zur Übersetzung der OWASP Top 10 in Karlsruhe (Kai Jendrian)
 * Die Rolle von Vertrauen für Sicherheit im Web (Kai Jendrian, Klaus J. Müller)
 * Die Bedeutung der Mozilla Firefox CSP (Kai Jendrian)

Der Schwerpunkt des Karlsruher OWASP-Stammtisches soll immer mehr auf einem Austausch zwischen Entwicklern und Security-Fachleuten dienen, um den "Developers don't know a shit about security"-Vorurteilen an der Wurzel zu begegnen! Also, schaut über den Tellerrand und verbreitet den Termin auch bei Entwicklern im Raum Karlsruhe!

2. Biertrinken für die Sicherheit am 17.02.2011
8 Wochen nach dem ersten Stammtisch wollen wir uns am Donnerstag, 17.02.2011 wieder um 19:30 in Karlsruhe treffen (Regel: Bis auf weiteres jeder 3. Donnerstag alle 2 Monate). Es ist wieder ein Tisch in der Gaststätte Schwanen, Weinweg 1a, 76131 Karlsruhe reserviert. Mit der Straßenbahn ist der Schwanen am besten über die Haltestelle Forststraße in Rintheim zu erreichen.

Wie beim ersten Stammtisch abgesprochen soll bei diesem Stammtisch in Form von offenen Diskussionen "gearbeitet" werden.

Themenvorschläge bisher:


 * Die Rolle von Vertrauen für Sicherheit im Web (Kai Jendrian, Klaus J. Müller)

Wir freuen uns auf jeden, der vorbei kommt. Bitte vorher kurz bei [mailto:kai.jendrian@owasp.org Kai Jendrian] Bescheid geben.

1. Biertrinken für die Sicherheit am 16.12.2010
Am Donnerstag, 16.12.2010 wird um 19:30 Uhr in Karlsruhe der OWASP-Kick-Off-Stammtisch (Biertrinken für die Sicherheit) in der Gaststätte Schwanen, Weinweg 1a, 76131 Karlsruhe stattfinden. Mit der Straßenbahn ist der Schwanen am besten über die Haltestelle Forststraße in Rintheim zu erreichen.

Wir werden uns über OWASP im Allgemeinen und die Zukunft des Karlsruher Stammtisches austauschen.

Wir freuen uns auf jeden, der vorbei kommt. Bitte vorher kurz bei [mailto:kai.jendrian@owasp.org Kai Jendrian] Bescheid geben.