Difference between revisions of "OWASP German Chapter Stammtisch Initiative/München"

From OWASP
Jump to: navigation, search
(Bereits gehaltene Stammtisch-Vorträge)
(Update der Einladung zum 61. Münchner Stammtisch: Webseclab - runnable collection of web security tests and demos (Dmitry Savintsev))
 
(182 intermediate revisions by 5 users not shown)
Line 1: Line 1:
 +
__NOTOC__
 
<!-- folgende Zeilen sind ein Test, um die Stammtische in der (wiki-)globalen Chapter-Kategory einzutragen
 
<!-- folgende Zeilen sind ein Test, um die Stammtische in der (wiki-)globalen Chapter-Kategory einzutragen
 
   Test hat nicht funktioniert, darum am 15-nov-12 wieder deaktiviert
 
   Test hat nicht funktioniert, darum am 15-nov-12 wieder deaktiviert
Line 5: Line 6:
 
----
 
----
 
-->
 
-->
 +
{{Top_10_2010:SubsectionColoredTemplate|'''Willkommen beim OWASP-Stammtisch München'''||year=2010}}
 +
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...
  
=== München ===
+
== '''A K T U E L L E S :''' ==
 +
<b>Einladung</b> zum (<span style="color:#008040; font-size:120%"><b>61.</b></span>) <b>Münchner OWASP-Stammtisch, am Di, 16.06.2015, um 19:00 Uhr</b>.
 +
* <b>Vortrag: [https://github.com/yahoo/webseclab Webseclab] - runnable collection of web security tests and demos (Dmitry Savintsev)</b><br>Wiederholung des Vortrags von der AppSecEU 2015 (in Deutsch):
 +
:* <b>DESCRIPTION</b><br>Webseclab is a set of web security test cases and a toolkit to easily construct new ones. It contains a collection of web vulnerabilities based on the development of our internal web security scanners, production web security incidents and Yahoo BugBounty reports of the last years.<br>Webseclab allows rapid prototyping and modification of sites simulating scanner targets and facilitates the "hands-on" approach for in-depth exploration and understanding of specific issues.<br>I will demonstrate how Webseclab can be applied to test and compare popular open-source (or commercial) web scanners as well as to transform production incidents, research proof of concepts and cheatsheets into runnable test cases.  There will be examples of our first interactions with the security tool authors which we believe benefited both sides! The testing suite can also be used as a resource for trainings to help teaching and explaining XSS and other types of Web security bugs and pitfalls.<br>Webseclab has been opensourced (https://github.com/yahoo/webseclab) and found enthusiastic reception not only among security researchers and pentesters but also from the wider developer audience.  It is published under a permissive (FreeBSD) license, can be easily installed literally within seconds in large variety of environments and run locally for ease of exploration and experimentation.
 +
:* <b>"About the Speaker"</b><br>Dmitry Savintsev is a veteran Yahoo developer and Paranoid who for the last several years has been working  on large-scale web security scanning systems, analysis and follow-up on BugBounty reports and security education. He has done numerous internal security trainings in multiple countries and spoke at FOSDEM, YUIConf and local Munich meetups.  He received his B.A in Piano Performance from Rowan College of New Jersey and Master's in Computer Science from Indiana University, Bloomington. He lives in a suburb of Munich with his wife and three children.
 +
* '''Ort:  Restaurant Villa Flora''', Hansastrasse 44, 80686 München, Tel. 089 / 54 71 75 75,
 +
: [http://www.villaflora.gymnas.de/anfahrt Anreise:]
 +
:* Mit <b>öffentlichen Verkehrsmitteln: Heimeranplatz U4/U5 oder S7</b>, dann 3 Minuten zu Fuß Richtung Hansastraße.
 +
:* Mit dem <b>Auto:</b> Mittlerer Ring Ausfahrt Tübingerstr., von der Tübingerstr. rechts einbiegen in die Dillwächterstr, am Ende rechts einbiegen in die Hansastr, nach 150 Metern auf der rechten Seite Parkplatz Villa Flora.
  
===== Allgemeines  =====
+
* Wir haben einen separaten Raum (rechts vom Eingang) für 12 Personen reserviert - im Zweifelsfall bitte einfach am Tresen (links vom Eingang) nach dem <b>"OWASP-Stammtisch"</b> oder nach dem <b>"Stammtisch im separaten Raum" fragen</b>. Um vorhergehende <b>Anmeldung per Mail bei {{Template:Contact | name = Tom Schoen | email = tom.schoen@owasp.org }}</b> oder {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird <b>gebeten</b>, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
  
Der Münchner Stammtisch findet ab Januar 2013 wieder jeden dritten Dienstag im Monat um 19:00 Uhr statt. <br>
+
* '''Spread the word'''<br>Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.<br>
 +
Schönen Gruß,<br>Orga-Team für den Münchner OWASP Stammtisch (Tom, Christoph und Torsten)
  
===== Die Ergebnisse der Umfrage zur zukünftigen Stammtischgestaltung =====
 
  
... werden bald hier im Detail zu finden sein ;-) Nur soviel vorab:
+
== Geplante Stammtisch-Vorträge ==
* zukünftig in der <b>Stadtmitte</b> mit
+
<!---
 +
* Dezember entfällt wie jedes Jahr wg. 23 Weihnachtsfeiern
 +
--->
 +
*  <b>Wir suchen Vorträge für die nächsten Stammtische im Juli, September, Oktober,...</b>
 +
 
 +
Möchte jemand einen Vortrag halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben.<br>
 +
 
 +
Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''<br>
 +
 
 +
 
 +
== Allgemeines ==
 +
Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an {{Template:Contact | name = Tom Schoen | email = tom.schoen@owasp.org }}, {{Template:Contact | name = Torsten Gigler | email = torsten.gigler@owasp.org }} oder {{Template:Contact | name = Thomas Herzog | email =thomas.herzog@owasp.org }} wenden.<br>
 +
 
 +
Der Münchner Stammtisch findet jeden <b>dritten Dienstag im Monat um 19:00 Uhr</b> statt (außer im August und Dezember).<br>
 +
 
 +
* In <b>gut erreichbarer Lage</b> mit
 
* einem vorab angekündigten, dedizierten <b>Thema</b>
 
* einem vorab angekündigten, dedizierten <b>Thema</b>
 
* mittels <b>Vortrag, wenn's geht</b> oder ersatzweise
 
* mittels <b>Vortrag, wenn's geht</b> oder ersatzweise
*<b>Lightning-Talk</b>, locker flockige 5 Minuten, keine Präsentation, kein Mikro
+
* <b>Lightning-Talk</b>, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
 +
* <b>Ankündigungen</b> erfolgen hier und über die [https://lists.owasp.org/mailman/listinfo/owasp-germany <b>Mailing-Liste des German Chapters</b>]
 +
* weitere Informationen zur [[OWASP German Chapter Stammtisch Initiative|Stammtisch-Initiative des OWASP German Chapters]] (Hintergrund, weitere Städte,...)
 +
* weitere Informationen zu [[Germany|OWASP Deutschland]] und zu unseren [[Germany/Projekte|Projekten]]
 +
 
 +
Die Details der letzten "HowTo-Stammtisch"-Umfrage sind [https://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative/M%C3%BCnchen#Details_zur_letzten_Stammtisch-Umfrage_vom_September_2012 hier] zu finden.
 
<!--
 
<!--
 
Es ist immer für 12 Personen reserviert, bei gutem Wetter (t &gt; 20,0 °C gefühlt, kein Niederschlag, Tageslicht) im Biergarten, bei schlechtem Wetter im Nebenraum - im Zweifelsfall bitte einfach am Tresen nach dem OWASP-Stammtisch fragen. Um vorhergehende '''Anmeldung per Mail bei [mailto:ralf.reinhardt@owasp.org Ralf Reinhardt] wird gebeten''', um ggf. weitere Ressourcen reservieren zu lassen - '''spontane "Zaungäste" sind aber jederzeit ebenso willkommen'''.
 
Es ist immer für 12 Personen reserviert, bei gutem Wetter (t &gt; 20,0 °C gefühlt, kein Niederschlag, Tageslicht) im Biergarten, bei schlechtem Wetter im Nebenraum - im Zweifelsfall bitte einfach am Tresen nach dem OWASP-Stammtisch fragen. Um vorhergehende '''Anmeldung per Mail bei [mailto:ralf.reinhardt@owasp.org Ralf Reinhardt] wird gebeten''', um ggf. weitere Ressourcen reservieren zu lassen - '''spontane "Zaungäste" sind aber jederzeit ebenso willkommen'''.
 
-->
 
-->
 +
<!--
 +
===== Um 19:00 im Wirtshaus T A T T E N B A C H =====
  
===== Der 37. Münchner OWASP Stammtisch findet am 15.01.2013 statt =====
+
Das alte Lokal wir renoviert, wir weichen aus:
  
Thema: Kein Nebenraum verfügbar, daher Lightning-Talk: Anti-CSRF-Token - was sind die Best Practices?
+
<b>ALTERNATIVER ORT IM FEBRUAR UND MÄRZ!<br>
 +
Wirtshaus Tattenbach</b><br>
 +
Tattenbachstr. 6<br>
 +
80538 München<br>
  
 +
Telefon 089 / 22 52 68
 +
 +
[http://www.tattenbach.de/  www.tattenbach.de]
 +
(Nähe U-Bahn U4/U5 Lehel)
 +
 +
Es ist für 10 Personen "eine ruhige Ecke" reserviert - im Zweifelsfall bitte einfach am Tresen nach dem OWASP-Stammtisch oder "Reinhardt" fragen. Um vorhergehende '''Anmeldung per Mail bei [mailto:ralf.reinhardt@owasp.org Ralf Reinhardt] wird gebeten''', um ggf. weitere Ressourcen reservieren zu lassen - '''spontane "Zaungäste" sind aber jederzeit ebenso willkommen'''.
 +
-->
 +
<!---
 
===== Um 19:00 im Hackerhaus =====  
 
===== Um 19:00 im Hackerhaus =====  
 +
 +
falls mit Vortrag, dann im "Klavierzimmer" (Nebenraum), ansonsten einfach fragen:
  
 
Sendlinger Str. 14<br>
 
Sendlinger Str. 14<br>
Line 34: Line 80:
  
 
[http://www.hackerhaus.de www.hackerhaus.de]
 
[http://www.hackerhaus.de www.hackerhaus.de]
 
+
-->
 +
<!---
 
Es ist für 10 Personen "eine ruhige Ecke" reserviert - im Zweifelsfall bitte einfach am Tresen nach dem OWASP-Stammtisch oder "Reinhardt" fragen. Um vorhergehende '''Anmeldung per Mail bei [mailto:ralf.reinhardt@owasp.org Ralf Reinhardt] wird gebeten''', um ggf. weitere Ressourcen reservieren zu lassen - '''spontane "Zaungäste" sind aber jederzeit ebenso willkommen'''.
 
Es ist für 10 Personen "eine ruhige Ecke" reserviert - im Zweifelsfall bitte einfach am Tresen nach dem OWASP-Stammtisch oder "Reinhardt" fragen. Um vorhergehende '''Anmeldung per Mail bei [mailto:ralf.reinhardt@owasp.org Ralf Reinhardt] wird gebeten''', um ggf. weitere Ressourcen reservieren zu lassen - '''spontane "Zaungäste" sind aber jederzeit ebenso willkommen'''.
 
+
--->
 
<!--
 
<!--
 
Cafe Waldfrieden<br>
 
Cafe Waldfrieden<br>
Line 46: Line 93:
 
Das Cafe befindet sich direkt gegenüber des Haupteingangs des Waldfriedhofs.<br>
 
Das Cafe befindet sich direkt gegenüber des Haupteingangs des Waldfriedhofs.<br>
 
-->
 
-->
 +
<!---
 
Öffentlicher Nahverkehr:
 
Öffentlicher Nahverkehr:
  
Line 63: Line 111:
 
[http://www.loeweundraute.com Homepage], [http://maps.google.de/maps?f=q&source=s_q&hl=de&geocode=&q=Nymphenburger+Str.+64,+m%C3%BCnchen&sll=53.87844,6.152344&sspn=10.478551,38.012695&ie=UTF8&ll=48.152373,11.548777&spn=0.011567,0.037122&z=15&iwloc=A Google Maps], [http://www.mvv-muenchen.de/de/home/fahrgastinformation/efa/fahrtauskunft/index.html MVV zum selber tippen]  
 
[http://www.loeweundraute.com Homepage], [http://maps.google.de/maps?f=q&source=s_q&hl=de&geocode=&q=Nymphenburger+Str.+64,+m%C3%BCnchen&sll=53.87844,6.152344&sspn=10.478551,38.012695&ie=UTF8&ll=48.152373,11.548777&spn=0.011567,0.037122&z=15&iwloc=A Google Maps], [http://www.mvv-muenchen.de/de/home/fahrgastinformation/efa/fahrtauskunft/index.html MVV zum selber tippen]  
 
-->
 
-->
===== Geplante Stammtisch-Vorträge  =====
 
  
* 19.02.2013: Wiederholung <i>(Replay-Attacke)</i> des Vortrags [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/Grundschutz/4GS_Tag_17102012/04_Reinhardt_OWASP.pdf?__blob=publicationFile "Absicherung von Web-Anwendungen in der Praxis - Highlights aus den OWASP TOP 10"] vom [https://www.bsi.bund.de/SharedDocs/Termine/DE/4_IT_Grundschutztag_2012.html 4. IT-Grundschutztag 2012 des BSI]
+
== Bereits gehaltene Stammtisch-Vorträge ==
 +
* Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? ([http://www.pst.ifi.lmu.de/Personen/team/busch Marianne Busch], Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: [http://www.pst.ifi.lmu.de/~busch/pub/2015SecWAOdraft.pdf An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)]
 +
* April 2015: <u>[[Media:Security_Risk_Workflows_-_Prof_Dr_Ruth_Breu+Michael_Brunner.pdf|Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen]]</u> (Prof. Dr. Ruth Breu und Michael Brunner, <u>[http://informatik.uibk.ac.at Universität Innsbruck])</u>
 +
* März 2015: <u>[[OWASP_Top_10_Privacy_Risks_Project|OWASP Top 10 Privacy Risks]]</u> (Florian Stahl), Wiederholung des <u>[[Media:Top10PrivacyRisks_IAPP_Summit_2015.pdf|Vortrags]]</u> vom <u>[[German_OWASP_Day_2014|German OWASP Day 2014]]</u>
 +
* Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des <u>[[Media:Securing_iOSApps_-_Bruce_Sams.pdf|Vortrags]]</u> vom <u>[[German_OWASP_Day_2014|German OWASP Day 2014]]</u>
 +
* Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des <u>[[Media:Richtig_verschluesseln_mit_SSL+TLS_-_Achim_Hoffmann+Torsten_Gigler.pdf|Vortrags]]</u> vom <u>[[German_OWASP_Day_2014|German OWASP Day 2014]]</u> mit Live-Vorführung des Tools <u>[[O-Saft|'O-Saft']]</u>
 +
* November 2014: [[User:Ralf Reinhardt|Ralf Reinhardt]]: Über Hacker-Typen und Hacker-Angriffe [[Media:141112_CS-Tag_7.pdf|(Folien)]]
 +
* Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
 +
* September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes [[Media:Vortrag-OWASPStammtischSep2014.pdf|(Folien)]]
 +
* Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks [[Media:2014-07-bleichenbacher-ssl.pdf|(Folien)]]
 +
* Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
 +
* Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS ([http://de.wikipedia.org/wiki/ISIS12 vgl. Wikipedia])
 +
* April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life [[Media:How_NSA_activities_affect_our_daily_life_handout.pdf‎|(Folien)]]
 +
* März 2014: Stefan Burgmair, Florian Stahl: [https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project OWASP Top 10 Privacy Risks Project]
 +
* März 2014: [https://github.com/denimgroup/threadfix ThreadFix] als Beispiel eines Vulnerability Management Systems ([https://mirko.dziadzka.de/ Mirko Dziadzka]), ([http://mirko.dziadzka.de/Vortrag/owasp-threadfix-20140318 Folien])
 +
* Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), [[Media:Folien-sslstrip-HSTS.pdf‎|Folien - sslstrip und HSTS]]
 +
* Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
 +
* November 2013: Was eine WAF (nicht) kann - Ausgabe 2013  ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20131119 Folien].
 +
* Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL ([[User:Achim|Achim Hoffmann]]), [[Media:SSL-in-der-Praxis_OWASP-Stammtisch-Muenchen.pdf‎|Folien - Angriffe auf HTTPS / SSL]]
 +
* Juni 2013: Advanced XSS (Nicolas Golubovic), [[Media:Advanced_XSS.pdf‎|Folien - Advanced XSS]]
 +
* Mai 2013: Top Ten Web Defenses (Jim Manico), [[Media:Top_Ten_Defenses_v9.ppt|Folien - Top Ten Defenses]]
 +
* März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), [[Media:OWASP_MUC_Burp_Plugin.pdf|Folien - Burp Plugin]]
 +
* Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), [[Media:OWASP_MUC_csp_lightning-talk.pdf|Folien - Content Security Policy]]
 +
* Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
 +
* November 2012: Lightning-Talk - Nachklapp zum [https://www.owasp.org/index.php/German_OWASP_Day_2012 5. deutschen OWASP Day] am 07.11.2012 (Achim Hoffmann) 
 +
* Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] ([[User:Ralf Reinhardt|Ralf Reinhardt]])
 +
* Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
 +
* Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] ([[User:Achim|Achim Hoffmann]] und [[User:Ralf Reinhardt|Ralf Reinhardt]])
 +
* Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
 +
* November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [[Media:Thesis_Anomalieerkennung_in_HTTP-Daten.pdf|Anomalien-Erkennung in HTTP-Daten]].
 +
* Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und [[User:Achim|Achim Hoffmann]]), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
 +
* März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
 +
* November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
 +
* Oktober 2009: Eine Kurzeinführung in Injection-Angriffe ([[User:Ralf Reinhardt|Ralf Reinhardt]])
  
Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben.<br>
+
<!----
 +
== Spread the word ==
  
Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. ''Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.''<br>
+
Wie immer möchte ich jeden bitten, der Menschen kennt, von denen er sich vorstellen könnte, dass Sie kommen möchten und könnten, diese Einladung an eben diese Menschen weiter zu leiten.<br>  
  
===== Bereits gehaltene Stammtisch-Vorträge  =====
+
Thema und hinreichende Bedingung ist in erster Linie (Web) Application Security. Man muss überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.<br>
 +
---->
  
*November 2012: Lightning-Talk - Nachklapp zum 5. deutschen OWASP Day am 07.11.2012   
+
== Historisches ==
*Februar 2012: Für Einsteiger ins Thema: [http://www.owasp.de/top10 Die OWASP Top 10 - 2010] (Ralf Reinhardt)
+
===== Details zur letzten Stammtisch-Umfrage vom September 2012  =====
*Juni 2011: Rückblick und Würdigung der [https://www.owasp.org/index.php/AppSecEU2011 OWASP AppSec Europe 2011 in Dublin] (Andreas von Keviczky)
+
*Februar 2011: Nachklapp zum [http://www.owasp.org/index.php/Summit_2011/Summit_Results_Summary OWASP Summit 2011 in Portugal] (Achim Hoffmann und Ralf Reinhardt)
+
*Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
+
*November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), [http://students.fh-hagenberg.at/sec/s0810304003/Thesis_Anomalieerkennung_in_HTTP-Daten_Vortrag_OWASP.pdf Folien].
+
*Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und Achim Hoffmann), u.a. wurde [http://www.owasp.org/index.php/Category:OWASP_EnDe "EnDe"] besprochen.
+
*März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
+
*November 2009: Was eine WAF (nicht) kann ([https://mirko.dziadzka.de/ Mirko Dziadzka]), [https://mirko.dziadzka.de/Vortrag/owasp-waf-20091124.pdf Folien].
+
*Oktober 2009: Eine Kurzeinführung in Injection-Angriffe (Ralf Reinhardt)
+
  
===== Spread the word  =====
+
Als Datenbasis dienen 19 gültig abgeschlossenen Umfragen von 19 Teilnehmern, genutzt wurde als technische Plattform [http://de.surveymonkey.com/ SurveyMonkey].
  
Wie immer möchte ich jeden bitten, der Menschen kennt, von denen er sich vorstellen könnte, dass Sie kommen möchten und könnten, diese Einladung an eben diese Menschen weiter zu leiten.<br>  
+
:<b>1. Wie oft sollte der Münchner OWASP Stammtisch im Jahr stattfinden?</b>
 +
:: 73,7 % "Einmal im Monat"
 +
:: 15,8 % "Alle zwei Monate"
 +
:: 5,3 % jeweils für "Einmal im Quartal" und "Alle vier Monate"
 +
 +
:<b>2. An welchen Wochentagen würdest Du zum Stammtisch kommen wollen?</b>
 +
:: 83,3 % "Di."
 +
:: 77,8 % "Mi."
 +
:: 44,4 % "Do."
 +
:: 33,3 % "Mo."
 +
:: 11,1 % "Sa."
 +
:: 5,6 % jeweils für "Fr." und "So."
  
Thema und hinreichende Bedingung ist in erster Linie Web Application Security. Man muss überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.<br>  
+
:<b>3. An welcher Woche würde es Dir am besten passen, zum Stammtisch zu kommen?</b>
 +
:: 88,9 % "3. Woche des Monats"
 +
:: 66,7 % "2. Woche des Monats"
 +
:: 55,6 % "1. Woche des Monats"
 +
:: 33,3 % "4. Woche des Monats"
  
Schönen Gruß, [mailto:ralf.reinhardt@owasp.org Ralf Reinhardt]
+
:<b>4. Was wäre die perfekte Uhrzeit für den Stammtisch?</b>
 +
:: 57,9 % "19:00"
 +
:: 15,8 % "20:00"
 +
:: 10,5 % jeweils für "18:00" und "19:30"
 +
:: 5,3 % "17:00"
 +
 
 +
:<b>5. In welchem Stadtbezirk sollte der Stammtisch stattfinden?</b>
 +
::Es wurde ein Bewertungsschema zugrunde gelegt. Pluspunkte brachten (absteigend) "Perfekt" (4), "Sehr gut" (3), "Gut" (2) und "Auch OK" (1). Neutral wurde "Meinetwegen" (0) gewertet; für "Eher nicht" gab es Punktabzug (-1), und für "No-Go Area!" doppelten Punktabzug (-2):
 +
:: 3,56 jeweils für "Au-Haidhausen" und "Ludwigsvorstadt-Isarvorstadt"
 +
:: 3,38 "Maxvorstadt"
 +
:: 3,33 "Altstadt-Lehel"
 +
:: 3,00 "Sendling"
 +
:: 2,33 "Schwanthalerhöhe"
 +
:: 2,00 "Schwabing-West"
 +
:: [..]
 +
:: 0,25 "Hadern"
 +
:: 0,13 "Bogenhausen"
 +
:: 0,00 "Milbertshofen-Am Hart"
 +
:: -0,10 "Feldmoching-Hasenbergl"
 +
 
 +
:<b>6. Konkrete Vorschläge zu Locations in diesen Stadtbezirken:</b>
 +
:: <li> "Wirtshaus zum Wendlinger"
 +
:: <li> "SAX"
 +
:: <li> "Kleine Schmausefalle"
 +
:: <li> "Altes Kreuz"
 +
:: <li> "Nockherberg"
 +
 
 +
:<b>7. Was ich am Stammtisch ändern würde:</b>
 +
:: <li> "Thema vorgeben / vorbereiten, wenn schon kein Vortrag statt findet" wurde 3 x genannt
 +
:: <li> "Mehr Workshops / Vorträge" wurde 2 x genannt
 +
:: <li> "Location" / "ÖPNV" (war damals "Cafe Waldfrieden")
 +
:: <li> "Einladung 1,0 bis 1,5 Wochen vorher raus, nicht knapper"
 +
:: <li> "Mehr Schwerpunkte"
 +
:: <li> "ggf. Split in 'Technischen Stammtisch' und 'Sozialisierungs-Stammtisch'"
 +
 
 +
:<b>8. Was ich am Stammtisch unbedingt behalten möchte:</b> 
 +
:: <li> "Gemütliches Beisammensein / Zeit zum Ratschen unter Gleichgesinnten / Lockere Gespräche"
 +
:: <li> "Kontakte / Community / Zusammenstellung der Menschen"
 +
:: <li> "Fachvorträge"
 +
:: <li> "Feilen an OWASP-Projekten"
 +
:: <li> "(Weiß-)Bier" wurde 2 x genannt
 +
 
 +
:<b>9. Zum Abschluss wollte ich schon immer mal loswerden:</b>
 +
:: <li> "Lob für die Organisation" wurde 4 x genannt
  
  
 
<small>(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)</small>
 
<small>(Kleines [[Germany/Website_HowTo| HowTo]] für die deutschen wiki-Seiten)</small>
 +
 +
[[Category:Germany]] [[Category:Stammtisch]]

Latest revision as of 09:31, 4 June 2015

Willkommen beim OWASP-Stammtisch München

... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

A K T U E L L E S :

Einladung zum (61.) Münchner OWASP-Stammtisch, am Di, 16.06.2015, um 19:00 Uhr.

  • Vortrag: Webseclab - runnable collection of web security tests and demos (Dmitry Savintsev)
    Wiederholung des Vortrags von der AppSecEU 2015 (in Deutsch):
  • DESCRIPTION
    Webseclab is a set of web security test cases and a toolkit to easily construct new ones. It contains a collection of web vulnerabilities based on the development of our internal web security scanners, production web security incidents and Yahoo BugBounty reports of the last years.
    Webseclab allows rapid prototyping and modification of sites simulating scanner targets and facilitates the "hands-on" approach for in-depth exploration and understanding of specific issues.
    I will demonstrate how Webseclab can be applied to test and compare popular open-source (or commercial) web scanners as well as to transform production incidents, research proof of concepts and cheatsheets into runnable test cases. There will be examples of our first interactions with the security tool authors which we believe benefited both sides! The testing suite can also be used as a resource for trainings to help teaching and explaining XSS and other types of Web security bugs and pitfalls.
    Webseclab has been opensourced (https://github.com/yahoo/webseclab) and found enthusiastic reception not only among security researchers and pentesters but also from the wider developer audience. It is published under a permissive (FreeBSD) license, can be easily installed literally within seconds in large variety of environments and run locally for ease of exploration and experimentation.
  • "About the Speaker"
    Dmitry Savintsev is a veteran Yahoo developer and Paranoid who for the last several years has been working on large-scale web security scanning systems, analysis and follow-up on BugBounty reports and security education. He has done numerous internal security trainings in multiple countries and spoke at FOSDEM, YUIConf and local Munich meetups. He received his B.A in Piano Performance from Rowan College of New Jersey and Master's in Computer Science from Indiana University, Bloomington. He lives in a suburb of Munich with his wife and three children.
  • Ort: Restaurant Villa Flora, Hansastrasse 44, 80686 München, Tel. 089 / 54 71 75 75,
Anreise:
  • Mit öffentlichen Verkehrsmitteln: Heimeranplatz U4/U5 oder S7, dann 3 Minuten zu Fuß Richtung Hansastraße.
  • Mit dem Auto: Mittlerer Ring Ausfahrt Tübingerstr., von der Tübingerstr. rechts einbiegen in die Dillwächterstr, am Ende rechts einbiegen in die Hansastr, nach 150 Metern auf der rechten Seite Parkplatz Villa Flora.
  • Wir haben einen separaten Raum (rechts vom Eingang) für 12 Personen reserviert - im Zweifelsfall bitte einfach am Tresen (links vom Eingang) nach dem "OWASP-Stammtisch" oder nach dem "Stammtisch im separaten Raum" fragen. Um vorhergehende Anmeldung per Mail bei Tom Schoen @ oder Torsten Gigler @ wird gebeten, damit wir ggf. weitere Plätze reservieren können (Danke!) - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
  • Spread the word
    Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.

Schönen Gruß,
Orga-Team für den Münchner OWASP Stammtisch (Tom, Christoph und Torsten)


Geplante Stammtisch-Vorträge

  • Wir suchen Vorträge für die nächsten Stammtische im Juli, September, Oktober,...

Möchte jemand einen Vortrag halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben.

Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.


Allgemeines

Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an Tom Schoen @, Torsten Gigler @ oder Thomas Herzog @ wenden.

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember).

Die Details der letzten "HowTo-Stammtisch"-Umfrage sind hier zu finden.

Bereits gehaltene Stammtisch-Vorträge


Historisches

Details zur letzten Stammtisch-Umfrage vom September 2012

Als Datenbasis dienen 19 gültig abgeschlossenen Umfragen von 19 Teilnehmern, genutzt wurde als technische Plattform SurveyMonkey.

1. Wie oft sollte der Münchner OWASP Stammtisch im Jahr stattfinden?
73,7 % "Einmal im Monat"
15,8 % "Alle zwei Monate"
5,3 % jeweils für "Einmal im Quartal" und "Alle vier Monate"
2. An welchen Wochentagen würdest Du zum Stammtisch kommen wollen?
83,3 % "Di."
77,8 % "Mi."
44,4 % "Do."
33,3 % "Mo."
11,1 % "Sa."
5,6 % jeweils für "Fr." und "So."
3. An welcher Woche würde es Dir am besten passen, zum Stammtisch zu kommen?
88,9 % "3. Woche des Monats"
66,7 % "2. Woche des Monats"
55,6 % "1. Woche des Monats"
33,3 % "4. Woche des Monats"
4. Was wäre die perfekte Uhrzeit für den Stammtisch?
57,9 % "19:00"
15,8 % "20:00"
10,5 % jeweils für "18:00" und "19:30"
5,3 % "17:00"
5. In welchem Stadtbezirk sollte der Stammtisch stattfinden?
Es wurde ein Bewertungsschema zugrunde gelegt. Pluspunkte brachten (absteigend) "Perfekt" (4), "Sehr gut" (3), "Gut" (2) und "Auch OK" (1). Neutral wurde "Meinetwegen" (0) gewertet; für "Eher nicht" gab es Punktabzug (-1), und für "No-Go Area!" doppelten Punktabzug (-2):
3,56 jeweils für "Au-Haidhausen" und "Ludwigsvorstadt-Isarvorstadt"
3,38 "Maxvorstadt"
3,33 "Altstadt-Lehel"
3,00 "Sendling"
2,33 "Schwanthalerhöhe"
2,00 "Schwabing-West"
[..]
0,25 "Hadern"
0,13 "Bogenhausen"
0,00 "Milbertshofen-Am Hart"
-0,10 "Feldmoching-Hasenbergl"
6. Konkrete Vorschläge zu Locations in diesen Stadtbezirken:
  • "Wirtshaus zum Wendlinger"
  • "SAX"
  • "Kleine Schmausefalle"
  • "Altes Kreuz"
  • "Nockherberg"
  • 7. Was ich am Stammtisch ändern würde:
  • "Thema vorgeben / vorbereiten, wenn schon kein Vortrag statt findet" wurde 3 x genannt
  • "Mehr Workshops / Vorträge" wurde 2 x genannt
  • "Location" / "ÖPNV" (war damals "Cafe Waldfrieden")
  • "Einladung 1,0 bis 1,5 Wochen vorher raus, nicht knapper"
  • "Mehr Schwerpunkte"
  • "ggf. Split in 'Technischen Stammtisch' und 'Sozialisierungs-Stammtisch'"
  • 8. Was ich am Stammtisch unbedingt behalten möchte:
  • "Gemütliches Beisammensein / Zeit zum Ratschen unter Gleichgesinnten / Lockere Gespräche"
  • "Kontakte / Community / Zusammenstellung der Menschen"
  • "Fachvorträge"
  • "Feilen an OWASP-Projekten"
  • "(Weiß-)Bier" wurde 2 x genannt
  • 9. Zum Abschluss wollte ich schon immer mal loswerden:
  • "Lob für die Organisation" wurde 4 x genannt

  • (Kleines HowTo für die deutschen wiki-Seiten)