Difference between revisions of "OWASP German Chapter Stammtisch Initiative/München"

From OWASP
Jump to: navigation, search
(Details zur letzten Stammtisch-Umfrage vom September 2012)
(Der 40. (sic!) Münchner OWASP Stammtisch "Advanced XSS" findet am 18.06.2013 mit Nicolas Golubovic statt)
(30 intermediate revisions by one user not shown)
Line 23: Line 23:
 
-->
 
-->
  
===== Der 38. Münchner OWASP Stammtisch findet am 19.02.2013 - MIT VORTRAG - statt =====
+
===== Der 40. (sic!) Münchner OWASP Stammtisch "Advanced XSS" findet am 18.06.2013 mit Nicolas Golubovic statt =====
  
Thema: "Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen" von Christine Koppelt.
+
Abstract: "Basic Cross-site scripting (XSS) attacks are well understood and easy to defend from. Yet, there still are XSS flaws being found on high-profile sites like mozilla.org and google.com. Join me in a short talk about advanced techniques showing the reasons for some good design practices. We will discuss defensive mechanisms, bad design choices and behaviour of browsers. After the talk you will be given the chance to test your skill in 5 challenges putting you in the role of an attacker!"
Um eine ungestörtere Atmosphäre zu haben sind wir diemal in einem NEBENRAUM. Fragt bitte nach dem "Klavierzimmer" im Hackerhaus.
+
 
 +
Über Nicolas Golubovic:
 +
* IT-Sicherheit (Bachelor) Student der Ruhr-Universität Bochum
 +
* Mitglied der FluxFingers(.net) und begeisterter CTF-Spieler
 +
* Leiter des Hackerpraktikums an der Ruhr-Universität Bochum im WS12/13
 +
 
 +
... und seine Motivation:
 +
* dem Vorurteil vorbeugen XSS sei "einfach zu beheben" und "langweilig"
 +
* generelles Interesse an Websicherheit und der Komplexität von Browsern
 +
 
 +
 
 +
Um eine ungestörtere Atmosphäre zu haben sind wir in einem <b>Nebenraum</b>. Fragt bitte nach dem <b>"Klavierzimmer"</b> im Hackerhaus (es ist gleich am Haupteingang die Treppe runter) oder dem "OWASP-Stammtisch" oder der "Reservierung für Reinhardt".
 +
 
 +
Spontane Zaungäste sind sehr gerne gesehen, da der Raum deutlich größer ist als die Anzahl der bisherigen Anmeldungen rechtfertigen würde. Ach wenn alle angemeldeten Gäste kommen bleibt es spannend!
  
 
===== Um 19:00 im Hackerhaus =====  
 
===== Um 19:00 im Hackerhaus =====  
Line 71: Line 84:
 
===== Geplante Stammtisch-Vorträge  =====
 
===== Geplante Stammtisch-Vorträge  =====
  
* 19.03.2013: Wiederholung <i>(Replay-Attacke)</i> des Vortrags  [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/Grundschutz/4GS_Tag_17102012/04_Reinhardt_OWASP.pdf?__blob=publicationFile "Absicherung von Web-Anwendungen in der Praxis - Highlights aus den OWASP TOP 10"] vom [https://www.bsi.bund.de/SharedDocs/Termine/DE/4_IT_Grundschutztag_2012.html 4. IT-Grundschutztag 2012 des BSI]
+
* 16.07.2013: "Statische Source Code Analyse - wie funktioniert das?" von Thomas Schoen (42. Stammtisch)
 +
* August: Urlaubszeit, Stammtsich fällt aus
 +
* 17.09.2013: TBA von NN
 +
* 15.10.2013: Wiederholung des Vortrags  [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/Grundschutz/4GS_Tag_17102012/04_Reinhardt_OWASP.pdf?__blob=publicationFile "Absicherung von Web-Anwendungen in der Praxis - Highlights aus den OWASP TOP 10"] vom [https://www.bsi.bund.de/SharedDocs/Termine/DE/4_IT_Grundschutztag_2012.html 4. IT-Grundschutztag 2012 des BSI] von Ralf Reinhardt
 +
* 19.11.2013: "Was eine WAF (immer noch nicht) kann" von Mirko Dziadzka
 +
* Dezember: Weihnachtsfeiern, Stammtisch fällt aus
 +
 
  
 
Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben.<br>  
 
Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben.<br>  
Line 78: Line 97:
  
 
===== Bereits gehaltene Stammtisch-Vorträge  =====
 
===== Bereits gehaltene Stammtisch-Vorträge  =====
*Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens
+
*Mai 2013: Mai 2013: Top Ten Web Defenses (Jim Manico), [[File:Top_Ten_Defenses_v9.ppt]]
*November 2012: Lightning-Talk - Nachklapp zum 5. deutschen OWASP Day am 07.11.2012   
+
*März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[File:OWASP_MUC_Burp_Plugin.pdf]]
 +
*Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[File:OWASP_MUC_csp_lightning-talk.pdf]]
 +
*Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
 +
*November 2012: Lightning-Talk - Nachklapp zum 5. deutschen OWASP Day am 07.11.2012 (Achim Hoffmann)  
 
*Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] (Ralf Reinhardt)
 
*Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] (Ralf Reinhardt)
 
*Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
 
*Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
 
*Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] (Achim Hoffmann und Ralf Reinhardt)  
 
*Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] (Achim Hoffmann und Ralf Reinhardt)  
 
*Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
 
*Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
*November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [http://students.fh-hagenberg.at/sec/s0810304003/Thesis_Anomalieerkennung_in_HTTP-Daten_Vortrag_OWASP.pdf Folien].
+
*November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[File:Thesis_Anomalieerkennung_in_HTTP-Daten.pdf]].
 
*Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und Achim Hoffmann), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
 
*Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und Achim Hoffmann), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
 
*März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
 
*März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
Line 129: Line 151:
  
 
:<b>5. In welchem Stadtbezirk sollte der Stammtisch stattfinden?</b>
 
:<b>5. In welchem Stadtbezirk sollte der Stammtisch stattfinden?</b>
:::Es wurde ein Bewertungsschema zugrunde gelegt. Pluspunkte brachten (absteigend) "Perfekt" (4), "Sehr gut" (3), "Gut" (2) und "Auch OK" (1). Neutral wurde "Meinetwegen" (0) gewertet; für "Eher nicht" gab es Punktabzug (-1), und für "No-Go Area!" doppelten Punktabzug (-2).
+
::Es wurde ein Bewertungsschema zugrunde gelegt. Pluspunkte brachten (absteigend) "Perfekt" (4), "Sehr gut" (3), "Gut" (2) und "Auch OK" (1). Neutral wurde "Meinetwegen" (0) gewertet; für "Eher nicht" gab es Punktabzug (-1), und für "No-Go Area!" doppelten Punktabzug (-2):
 
:: 3,56 jeweils für "Au-Haidhausen" und "Ludwigsvorstadt-Isarvorstadt"
 
:: 3,56 jeweils für "Au-Haidhausen" und "Ludwigsvorstadt-Isarvorstadt"
 
:: 3,38 "Maxvorstadt"
 
:: 3,38 "Maxvorstadt"

Revision as of 05:29, 11 June 2013


Contents

München

Allgemeines

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt.

  • In der Stadtmitte mit
  • einem vorab angekündigten, dedizierten Thema
  • mittels Vortrag, wenn's geht oder ersatzweise
  • Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.

Die Details der letzten "HowTo-Stammtisch"-Umfrage sind hier zu finden.


Der 40. (sic!) Münchner OWASP Stammtisch "Advanced XSS" findet am 18.06.2013 mit Nicolas Golubovic statt

Abstract: "Basic Cross-site scripting (XSS) attacks are well understood and easy to defend from. Yet, there still are XSS flaws being found on high-profile sites like mozilla.org and google.com. Join me in a short talk about advanced techniques showing the reasons for some good design practices. We will discuss defensive mechanisms, bad design choices and behaviour of browsers. After the talk you will be given the chance to test your skill in 5 challenges putting you in the role of an attacker!"

Über Nicolas Golubovic:

  • IT-Sicherheit (Bachelor) Student der Ruhr-Universität Bochum
  • Mitglied der FluxFingers(.net) und begeisterter CTF-Spieler
  • Leiter des Hackerpraktikums an der Ruhr-Universität Bochum im WS12/13

... und seine Motivation:

  • dem Vorurteil vorbeugen XSS sei "einfach zu beheben" und "langweilig"
  • generelles Interesse an Websicherheit und der Komplexität von Browsern


Um eine ungestörtere Atmosphäre zu haben sind wir in einem Nebenraum. Fragt bitte nach dem "Klavierzimmer" im Hackerhaus (es ist gleich am Haupteingang die Treppe runter) oder dem "OWASP-Stammtisch" oder der "Reservierung für Reinhardt".

Spontane Zaungäste sind sehr gerne gesehen, da der Raum deutlich größer ist als die Anzahl der bisherigen Anmeldungen rechtfertigen würde. Ach wenn alle angemeldeten Gäste kommen bleibt es spannend!

Um 19:00 im Hackerhaus

am 19.02. im "Klavierzimmer" (Nebenraum)

Sendlinger Str. 14
80331 München
Tel. 089 / 260 50 26

www.hackerhaus.de

Es ist für 10 Personen "eine ruhige Ecke" reserviert - im Zweifelsfall bitte einfach am Tresen nach dem OWASP-Stammtisch oder "Reinhardt" fragen. Um vorhergehende Anmeldung per Mail bei Ralf Reinhardt wird gebeten, um ggf. weitere Ressourcen reservieren zu lassen - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.

Öffentlicher Nahverkehr:

Ca. 400 m vom Marienplatz oder 450 m vom Sendlinger Tor entfernt.


Geplante Stammtisch-Vorträge


Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben.

Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.

Bereits gehaltene Stammtisch-Vorträge
  • Mai 2013: Mai 2013: Top Ten Web Defenses (Jim Manico), File:Top Ten Defenses v9.ppt
  • März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), File:OWASP MUC Burp Plugin.pdf
  • Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), File:OWASP MUC csp lightning-talk.pdf
  • Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
  • November 2012: Lightning-Talk - Nachklapp zum 5. deutschen OWASP Day am 07.11.2012 (Achim Hoffmann)
  • Februar 2012: Für Einsteiger ins Thema: Die OWASP Top 10 - 2010 (Ralf Reinhardt)
  • Juni 2011: Rückblick und Würdigung der OWASP AppSec Europe 2011 in Dublin (Andreas von Keviczky)
  • Februar 2011: Nachklapp zum OWASP Summit 2011 in Portugal (Achim Hoffmann und Ralf Reinhardt)
  • Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
  • November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), File:Thesis Anomalieerkennung in HTTP-Daten.pdf.
  • Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und Achim Hoffmann), u.a. wurde "EnDe" besprochen.
  • März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
  • November 2009: Was eine WAF (nicht) kann (Mirko Dziadzka), Folien.
  • Oktober 2009: Eine Kurzeinführung in Injection-Angriffe (Ralf Reinhardt)
Spread the word

Wie immer möchte ich jeden bitten, der Menschen kennt, von denen er sich vorstellen könnte, dass Sie kommen möchten und könnten, diese Einladung an eben diese Menschen weiter zu leiten.

Thema und hinreichende Bedingung ist in erster Linie Web Application Security. Man muss überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.

Schönen Gruß, Ralf Reinhardt


Details zur letzten Stammtisch-Umfrage vom September 2012

Als Datenbasis dienen 19 gültig abgeschlossenen Umfragen von 19 Teilnehmern, genutzt wurde als technische Plattform SurveyMonkey.

1. Wie oft sollte der Münchner OWASP Stammtisch im Jahr stattfinden?
73,7 % "Einmal im Monat"
15,8 % "Alle zwei Monate"
5,3 % jeweils für "Einmal im Quartal" und "Alle vier Monate"
2. An welchen Wochentagen würdest Du zum Stammtisch kommen wollen?
83,3 % "Di."
77,8 % "Mi."
44,4 % "Do."
33,3 % "Mo."
11,1 % "Sa."
5,6 % jeweils für "Fr." und "So."
3. An welcher Woche würde es Dir am besten passen, zum Stammtisch zu kommen?
88,9 % "3. Woche des Monats"
66,7 % "2. Woche des Monats"
55,6 % "1. Woche des Monats"
33,3 % "3. Woche des Monats"
4. Was wäre die perfekte Uhrzeit für den Stammtisch?
57,9 % "19:00"
15,8 % "20:00"
10,5 % jeweils für "18:00" und "19:30"
5,3 % "17:00"
5. In welchem Stadtbezirk sollte der Stammtisch stattfinden?
Es wurde ein Bewertungsschema zugrunde gelegt. Pluspunkte brachten (absteigend) "Perfekt" (4), "Sehr gut" (3), "Gut" (2) und "Auch OK" (1). Neutral wurde "Meinetwegen" (0) gewertet; für "Eher nicht" gab es Punktabzug (-1), und für "No-Go Area!" doppelten Punktabzug (-2):
3,56 jeweils für "Au-Haidhausen" und "Ludwigsvorstadt-Isarvorstadt"
3,38 "Maxvorstadt"
3,33 "Altstadt-Lehel"
3,00 "Sendling"
2,33 "Schwanthalerhöhe"
2,00 "Schwabing-West"
[..]
0,25 "Hadern"
0,13 "Bogenhausen"
0,00 "Milbertshofen-Am Hart"
-0,10 "Feldmoching-Hasenbergl"
6. Konkrete Vorschläge zu Locations in diesen Stadtbezirken:
  • "Wirtshaus zum Wendlinger"
  • "SAX"
  • "Kleine Schmausefalle"
  • "Altes Kreuz"
  • "Nockherberg"
  • 7. Was ich am Stammtisch ändern würde:
  • "Thema vorgeben / vorbereiten, wenn schon kein Vortrag statt findet" wurde 3 x genannt
  • "Mehr Workshops / Vorträge" wurde 2 x genannt
  • "Location" / "ÖPNV" (war damals "Cafe Waldfrieden")
  • "Einladung 1,0 bis 1,5 Wochen vorher raus, nicht knapper"
  • "Mehr Schwerpunkte"
  • "ggf. Split in 'Technischen Stamtisch' und 'Sozialisierungs-Stamtisch'"
  • 8. Was ich am Stammtisch unbedingt behalten möchte:
  • "Gemütliches Beisammensein / Zeit zum Ratschen unter Gleichgesinnten / Lockere Gespräche"
  • "Kontakte / Community / Zusammenstellung der Menschen"
  • "Fachvorträge"
  • "Feilen an OWASP-Projekten"
  • "(Weiß-)Bier" wurde 2 x genannt
  • 9. Zum Abschluss wollte ich schon immer mal loswerden:
  • "Lob für die Organisation" wurde 4 x genannt

  • (Kleines HowTo für die deutschen wiki-Seiten)