OWASP AppSec Germany 2009 Conference

Das OWASP German Chapter lädt zur zweiten deutschen OWASP Konferenz rund um alle Aspekte der Anwendungssicherheit ein. Die Konferenz findet parallel zur IT-Security Messe it-sa in Nürnberg statt.

Konferenz Tag
Die Konferenz findet am 13.10.2009, dem ersten Tag der Messe statt. Am 12.10.2009 sind alle Teilnehmer und Vortragenden zum Vorabend Event herzlich eingeladen.

Sponsoren
Wir danken unseren Sponsoren:

Agenda
 

Vorstellung des Open Web Application Security Project (OWASP)

 * Vortragsabstract folgt in Kürze


 * Über Boris Hemkemeier


 * Dr. Boris Hemkemeier ist Board Member des OWASP German Chapters. Er arbeitet als Principal Security Consultant bei der Commerzbank AG.

OWASP Education Project

 * Die OWASP ist eine schier unerschöpfliche Quelle an Informationen zu fast allem, was die Sicherheit von Softwareanwendungen betrifft. Die Anzahl Projekte zu Tools und Dokumentationen wächst und wächst. Wo finde ich was zu welchem Thema? Was muss man und was sollte man wissen?


 * Über Martin Knobloch


 * Martin Knobloch ist Security Consultant bei Sogeti Nederland B.V., wo er die Arbeitsgruppe zur Anwendungssicherheit PaSS gegründet hat und leitet. Daneben ist Martin Mitglied des Niederländischen Chapter Board und trägt an meheren OWASP Projekten bei. Es ist Project Lead des OWASP Boot Camp, OWASP CTF, OWASP Speaker Project (Speaker Bureau) und OWASP Education Projekt. Martin ist aktives Mitglied des OWASP Global Education Committee.

Praktische Erfahrung mit dem Secure Software Lifecycle

 * Fast 80% aller bekannten Sicherheitslücken haben ihren Ursprung in Anwendungen oder Infrastruktur-Komponenten wie zum Beispiel Web-Server und Application Server. Dies gilt für alle Arten von Software, egal ob selbstentwickelt, extern entwickelt, oder out-of-the-box-Standard-Software. Bekannte einzelne Maßnahmen wie Penetrationstests, Audits, Code-Reviews, usw. können helfen, aber sie müssen als Teile des "Secure Software Lifecycle" integriert werden, um am wirksamsten sein.


 * In dieser Präsentation erfahren Sie mehr über die effektivste Strategie für die Schaffung eines funktionierenden „Secure Software Lifecycle“. Die Beispiele sind aus der Praxis der Umsetzung des „Secure Software Lifecycle“ bei großen deutschen Unternehmen in den letzten Jahren. Sie werden sehen, wie man Kosten und Nutzen abschätzen kann und werden verstehen, wie die komplexen Puzzleteile zusammenpassen. Auf der Grundlage von konkreten Beispielen, erhalten Sie ein "Big Picture" der Sicherung der Software vor, während und nach der Entwicklung.


 * Über Dr. Bruce Sams


 * Dr. Bruce Sams ist ausgebildeter Physiker und Geschäftsführer von OPTIMAbit GmbH, einer Beratungsfirma im Bereich Anwendungssicherheit (Architecture Review, Penetration Test, Single-Sign-On, PKI und mehr). Dr. Sams ist Autor vieler Fachartikel.

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web-Anwendungen

 * Daten in SAP-Systemen sind oft unternehmenskritische Daten mit sehr hohem Schutzbedarf, die zunehmend über Web-Schnittstellen erreichbar sind. SAP bietet gleich mehrere Entwicklungsframeworks zur Entwicklung von eigenen Web-Anwendungen auf Basis des SAP Web Application Servers (WebAS) an. Davon zählen Business Server Pages (BSP) und Web Dynpro ABAP zu den Web-Entwicklungs-Frameworks mit der größten Verbreitung. Beide Frameworks nutzen die SAP-eigene Programmiersprache ABAP für die Entwicklung.


 * In diesem Vortrag stelle ich vor, wie man sichere Web-Anwendungen mit BSP bzw. Web Dynpro ABAP entwickelt. Ich zeige weiterhin, wie Entwickler gängige Web-Schwachstellen wie beispielsweise Cross Site Scripting, SQL-Injection und Cross Site Request Forgery in SAP-Web-Anwendungen verhindern können. Zu jeder Schwachstelle zeige ich ebenfalls, wie man die Schwachstellen im Laufe eines Code Audits entdecken kann.


 * Über Sebastian Schinzel


 * Sebastian Schinzel ist seit mehr als sechs Jahren Entwickler und Sicherheitsberater. Sein Fokus liegt auf Sicherheitsuntersuchungen und sicherer Softwareentwicklung von Geschäftsanwendungen. Bei Virtual Forge führt er Sicherheitsuntersuchungen von SAP-Geschäftsanwendungen durch und berät SAP-Kunden zu sicherer Softwareentwicklung. Er ist Co-Autor des Buchs "Sichere ABAP-Programmierung" (SAP-Press 2009).

Adaptive Sicherheit durch Anomalieerkennung

 * Weil die Funktionalität von Webapplikation stetig ausgebaut wird und zunehmend auch kritische Daten und Geschäftsprozesse damit gehandhabt werden, gehören Angriffe auf Webapplikationen zu den grössten aktuellen Sicherheitsproblemen. Zum Schutz vor solchen Bedrohungen kommen Web-Application-Firewalls (WAFs) zum Zuge. Aktuelle Komponenten setzen dabei auf ein Blacklist- oder Whitelist-Modell, welches mittels konfigurierbarer Regelsets durchgesetzt wird. Neuere Entwicklungen im Bereich von Whitelisting wie etwa URL- oder Form-Encryption figurieren auch unter dem Begriff “dynamisches Whitelisting”. Diesen Ansätzen sind diverse Grenzen gesetzt: Der Konfigurationsbedarf wird aufgrund der Komplexität heutiger Web-Anwendungen deutlich erhöht, Blacklist-Ansätze sind machtlos gegen “Zero-Day Exploits”, und sämtliche heutigen Ansätze greifen bei “Rich Internet Applications” (RIAs) und AJAX-Applikationen zu kurz. So auch dynamisches Whitelisting, welches mit JavaScript generierte URLs, Forms und Cookies nicht oder nur begrenzt handhaben kann.


 * Neue, innovative Techniken versprechen jedoch Abhilfe: So können mittels Anomalieerkennung Attacken auch ohne komplexe Konfiguration erkannt werden und mittels einer vertieften Analyse des Request- und Response-Bodys ist es möglich, RIAs zu schützen. Ein solcher Ansatz wird von AdNovum verfolgt und in dieser Session vorgestellt.


 * Über Patrick Hammer


 * Hartmut Keil ist diplomierter Physiker und Senior Software Engineer bei der AdNovum Informatik AG, einer Software-Engineering-Firma mit Sitz in Zürich. Sein Fokus liegt auf der Entwicklung von securityrelevanten Middlewarekomponenten wie Reverse-Proxies, Web-Application-Firewalls und Authentifizierungsservern.

Design Bugs

 * oder wenn aus einem Marketing oder Usability Feature ein Sicherproblem entsteht...
 * In dem Vortrag werden "unpopuläre" Fehler besprochen, die während der Design Phase eines Entwicklungszykluses zu erkennen sind und entsprechend behandelt werden können. Diese Probleme werden durch veröffentlichte Vorfälle belegt und erörtert.


 * Über Alexios Fakos


 * Alexios Fakos ist nach sieben Jahren in der Softwareentwicklung zum IT Sicherheitsdienstleister n.runs AG gewechselt. Zurzeit ist Herr Fakos als Senior Security Consultant tätig. Seine Schwerpunkte sind unter anderem: Penetrationstests, Quellcodeanalysen und Schulungen für Softwareentwickler und -tester. Neben seiner beruflichen Tätigkeit hat Herr Fakos einen Lehrauftrag mit dem Thema Web Security am Fachbereich Mathematik, Naturwissenschaften und Datenverarbeitung (MND) an der Fachhochschule Giessen-Friedberg.

JavaScript from Hell - advanced client side injection techniques of tomorrow

 * Der Talk befasst sich mit dem Thema JavaScript im Kontext von Angriffen gegen Web-Applikationen, Malware und Überwindung von Filtern. Neben einem Überblick über bekannte Verschleierungstechniken für JavaScript Payload dreht sich der Talk ebenso um Verfahren verschleierten Code in Klartext umzuwandeln. Final wird das Thema Malware von morgen angesprochen - Verschleierungtechniken die sich nicht mehr ohne weiteres umkehren lassen, sich selbst verändernder Code und spezielle Verfahren zur Umgehung von Filtern in WAFs und anderen Defensiv-Systemen.


 * Über Mario Heiderich
 * Mario Heiderich ist derzeit wohnhaft in Köln, arbeitet als Freelancer im Bereich Websecurity für diverse deutsche und internationale Firmen und hat große Freude an der Firebug Konsole.

Pentestvorbereitung: Sitemap für Webanwendungen (Tools)

 * Um sich Klarheit über den Stand der Sicherheit einer Webanwendung zu verschaffen, ist ein -mehr oder weniger umfassender- Penetrationstest geeigent, manchmal sogar unumgänglich. Ein Penetrationstest kann wichtige Erkenntnisse über vohandene Schwachstellen liefern. Je nach Schutzbedarf der Anwendung und dem Risiko, das die Schwachstellen bieten, kann eine Kosten-Nutzen-Abwägung erfolgen, um die Schwachstellen ggf. zu beheben.
 * Bei der Projektierung eines Penetrationstests stellt sich für Auftraggeber und Pentester die Frage, "was" und "wieviel" denn zu testen ist. Bei umfangreichen Anwendungen ist es daher notwendig, ein Profil des Testgegenstandes zu erstellen. Daraus ergibt sich zum einen der Testumfang (Quantität) und zum anderen die eigentlichen Testpunkte (Qualität) - und damit insgesamt auch die Kosten.
 * In diesem Beitrag werden für die vermeintlich einfache Aufgabe: "Profil (Sitemap) erstellen" zum einen die Schwierigkeiten beschrieben, die damit verbunden sind, und zum anderen Tools, die dabei unterstützend eingesetzt werden können.


 * Über Achim Hoffmann
 * Achim Hoffmann ist Senior Consultant im Bereich Web Application Security bei der SecureNet GmbH in München. Er ist Co-Autor des OWASP Best Practices: Web Application Firewalls und von Sicherheit von Webanwendungen, Maßnahmen und Best Practices des BSI.

Projektierung der Sicherheitsprüfung von Webanwendungenen

 * Die Prüfung der Sicherheit von Webanwendungen wird mittlerweile von vielen Unternehmen als erforderlicher Schritt anerkannt. Insbesondere für die erstmalige Prüfung ist es für den Betreiber von Webanwendungen schwierig, ein entsprechendes Projekt aufzusetzen. Es gilt, zum einen den Projektfokus sauber zu definieren, um eine Vergleichbarkeit von Angeboten zu erzielen und zum anderen die Expertise der Dienstleister möglichst transparent bewerten zu können.


 * Ziel dieses nicht-technischen Whitepapers ist die Darstellung von transparenten Methoden, um die Projektierung einer solchen Prüfung zu ermöglichen und den geeigneten Dienstleister zu finden. Am Whitepaper beteiligt sind sowohl Endkunden, als auch mehrere Dienstleister, so dass ein generisches Dokument entwickelt werden konnte.


 * Über Tobias Glemser


 * Tobias Glemser beschäftigt sich seit dem Jahr 2000 mit der Planung und Durchführung von Penetrationstests auf Web-Anwendungen. Er ist leitender IT-Sicherheitsberater bei der Tele-Consulting security networking training GmbH.

Konferenzort
CCN Ost CongressCenter Nürnberg

Messezentrum

90471 Nürnberg

www.congressing.de

Vorträge
Ebene 3, Raum Shanghai

Das Come Together in den Pausen und die Ausstellung finden in der Galerie vor dem Raum Shanghai und dem Foyer Shanghai/Seoul statt.

Anreise
Anreise mit dem Auto

Anreise mit der Bahn und dem Öffentlichen Nahverkehr

Anreise mit dem Flugzeug

NürnbergMOBIL
NürnbergMOBIL bietet Informationen zu sämtlichen Verkehrsverbindungen, dem Stadtgeschehen und rund um den Tourismus in Nürnberg

Vorabendveranstaltung
Zwischen 19:30 und 20:00 Uhr geht es am Vorabend, dem 12.10.09, los! Alle Teilnehmer sind zum Kennenlernen, Erfahrungsaustausch, Kontakteknüpfen in lockerer Atmosphäre eingeladen (Bitte auf dem Anmeldeformular entsprechend vermerken). Für das leibliche Wohl ist gesorgt.

Restaurant Steichele

Knorrstraße 2-8

90402 Nürnberg

Telefon: +49 (0) 911 20 22 8-0 Telefax: +49 (0) 911 22 19 14

Link zum Restaurant

Anreise zum Restauant (pdf)

Preise
Preise zzgl. MwSt.

Anmeldung
Bitte melden Sie sich über dieses Formular an.

OWASP Messestand
Auf dem OWASP-Stand der it-sa erhalten Sie Informationen zur OWASP und können sich fachlich austauschen.

Sie finden uns am Stand 6-712 (Hallenplan)

Infos für Sponsoren
Es besteht die Möglichkeit zum Ausstellen und zum Logo-Sponsoring. Infos für Sponsoren hier.

OWASP AppSec Germany 2009 Call for Presentations (German version)
Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zweite Konferenz OWASP AppSec Germany 2009 am 13.10.2009 aus. Die Konferenz findet begleitend zur IT- Security-Messe it-sa in Nürnberg (Messe) statt. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum, die Konferenzsprache ist Deutsch, aber Vorträge sind auch in Englisch willkommen. Die OWASP AppSec Germany 2009 soll eine Ergänzung zu bekannten technologieorientierten Security-Konferenzen darstellen und auch fachliche Vorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bieten.

Call for Presentations
Für die Einreichung von Vorträgen bitten wir um eine maximal zweiseitige Zusammenfassung oder eine Vorabversion des Vortrags. Erwünschte Themengebiete

Alle Themen mit Bezug zu Web Application Security und OWASP, insbesondere – jeweils bzgl. Web Application Security:


 * Praxisrelevante technische Vorträge
 * Sichere Entwicklungsframeworks und Best Practices
 * Secure Development Lifecycle
 * Security-Awareness Programme für Entwickler, Tester, Architekten und Auftraggeber
 * Security Management von Anwendungen im Unternehmen
 * Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
 * Erfahrungsberichte aus Unternehmen, insb. bzgl. Einführung von Web Application Security Prozessen, internem und externem Auditing etc.
 * OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
 * Anwendungssicherheit und Metriken

Abhängig von der Anzahl eingehender Vorträge werden ein oder zwei Tracks angeboten. Präsentationen können 30 oder 45 Minuten dauern. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Alle Vorträge werden unter der OWASP Lizenz (OWASP-Speaker Agreement – siehe unten) auf der Konferenzwebseite veröffentlicht. Es wird darauf hingewiesen, dass das OWASP-Speaker Agreement (s.u.) vor der Konferenz ohne Änderung akzeptiert und unterschrieben werden muss.

Voraussichtlich wird neben den Konferenzbeiträgen ein kleines Lab angeboten, in dem Demos aus den Vorträgen vorgeführt werden können oder nach dem Vortrag einzelne Themen mit Interessierten praktisch vertieft werden können.

Teilnehmer und insbesondere Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 12.10.2009.

Termine:

 * Einreichungen bis 17.08.2009 per Email an germany@owasp.org . Bitte fügen Sie eine Zusammenfassung des Vortrags oder eine Vorabversion des Foliensatzes sowie, wenn möglich, eine Kurzbiographie bei. Bitte geben Sie auch die gewünschte Dauer (30 oder 45 Minuten) mit an. Wenn Sie am Lab interessiert sind, vermerken Sie dies bitte.
 * Benachrichtigung der Vortragenden 31.08.2009.
 * Einreichung der Foliensätze (prefinal) 01.10.2009
 * Konferenz 13.10.2009 mit Vorabendveranstaltung am 12.10.2009

Weitere Informationen

 * Konferenz Webseite: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference
 * Homepage der it-sa Nürnberg 2009: http://www.it-sa.de/
 * OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement
 * Über die OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany

Kontakt:
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] und [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member)

OWASP AppSec Germany 2009 Call for Presentations (English version)
The OWASP German Chapter is delighted to invite you to the OWASP AppSec Germany 2009 conference at 13th October, 2009. The conference will this year take place in parallel to the IT security trade fair it-sa in Nuremberg.

Call for Presentations
A presentation proposal should consist of a 2-page position paper representing the essential matter proposed by the speaker(s). Proposals must include sufficient material for the organizing committee to make an informed decision.

Topics of Interest
We encourage in particular presentations about development, operations, and testing aspects of web based applications. We aim to complement the well established technical aspects of web application security with IT management, business, and user oriented topics. The conference language is German but talks are also welcome in English. Topics of interests are all topics related to web application security and OWASP, in particular (all with focus on web application security):


 * Technical talks with particular relevancy to practice.
 * Secure development frameworks and best practices
 * Security awareness programs for developers, testers, architects and business people
 * Security management of web based applications
 * Security management in outsourcing and off-shoring projects and operations
 * Lessons learned talks about web application security, in particular about the introduction of internal web application security processes, internal and/or external auditing etc.
 * OWASP in your enterprise or university
 * Application security and metrics

Depending on the submissions the conference will be organized in one or two parallel tracks. Presentations are scheduled for 30 or 45 minutes. All presentations are held and published under the OWASP speakers agreement (see below).

The conference aims to provide a lab room available for demonstrations or hands on discussions (tbc).

'''Conference participants and in particular all speakers are invited to the pre-opening event at 12th October, 2009. Details will be published shortly.'''

Dates

 * Submission deadline is the 17th August, 2009. Please indicate the proposed duration (30 / 45 minutes) of your talk. Submission email address is germany@owasp.org . Your submission will be confirmed shortly. Please not if you like to present 30 or 45 minutes and if you like to use the lab.
 * Acceptance notification until 31st August, 2009.
 * Submission deadline for presentation slides (prefinal) 1st October, 2009
 * Conference 13th October 2009 (pre-opening event at 12th October, 2009)

Additional information:

 * Conference website: http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference
 * Website of the IT security trade fair it-sa Nürnberg 2009: http://www.it-sa.de
 * OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement
 * About OWASP: http://www.owasp.org/ || http://www.owasp.org/index.php/Germany

Contact:
[mailto:germany@owasp.org germany@owasp.org]. [mailto:ts@securenet.de Thomas Schreiber] and [mailto:georg.hess@artofdefence.com Georg Hess] (OWASP German Chapter Leaders), [mailto:boris@owasp.org Boris Hemkemeier] (OWASP German Chapter Board Member)