Difference between revisions of "OWASP German Chapter Stammtisch Initiative/München"

From OWASP
Jump to: navigation, search
m (Thomas im Gruß-Footer ergänzt)
(Folien des Vortrags: 'Sicherheitsprobleme bei Java Serialisierung (Johannes Bär); Hinweis auf Sommerpause im August und den 72. Stammtisch am 20.09.2016)
Line 10: Line 10:
  
 
== '''A K T U E L L E S :''' ==
 
== '''A K T U E L L E S :''' ==
 
+
<b>Im August ist <span style="color:#008040; font-size:120%">Sommerpause</span></b>,<br>der (<span style="color:#008040; font-size:120%"><b>72.</b></span>) <span style="font-size:110%;"><b>Münchner OWASP-Stammtisch, findet am Di, 20.09.2016, um 19:00 Uhr satt.</b></span>
<b>Einladung</b> zum (<span style="color:#008040; font-size:120%"><b>71.</b></span>) <span style="background:yellow; font-size:110%;"><b>Münchner OWASP-Stammtisch, am Di, 19.07.2016, um 19:00 Uhr.</b></span>
+
<br><span style="background:yellow; font-size:120%"><b>Wir suchen Vorträge für die weiteren Stammtische in 2016!</b></span><br><br>
 +
<!------
 
* <b>Sicherheitsproblematiken bei Java Serialisierung (Johannes Bär)</b><br>Seit dem die Übertragung von serialisierten Java-Objekten Ende 2015 mehr in den Fokus von Sicherheits-Analysten gerückt ist, werden damit in Zusammenhang stehende Schwachstellen vermehrt öffentlich. Der Vortrag vermittelt, worin die Problematik in Java überhaupt begründet ist und welche Architektureigenschaften diese bedingen. Anschließend wird darauf eingegangen, wie Auditoren und Penetrationstester serialisierte Objekte untersuchen können (kurze Vorstellung einer Toolchain) um auf diesen auch generische Angriffstechniken zu verwenden, die sonst eher im Web-Bereich genutzt werden. Abschließend werden auch Maßnahmen zur Behebung der Problematik besprochen und die damit einhergehenden Schwierigkeiten.
 
* <b>Sicherheitsproblematiken bei Java Serialisierung (Johannes Bär)</b><br>Seit dem die Übertragung von serialisierten Java-Objekten Ende 2015 mehr in den Fokus von Sicherheits-Analysten gerückt ist, werden damit in Zusammenhang stehende Schwachstellen vermehrt öffentlich. Der Vortrag vermittelt, worin die Problematik in Java überhaupt begründet ist und welche Architektureigenschaften diese bedingen. Anschließend wird darauf eingegangen, wie Auditoren und Penetrationstester serialisierte Objekte untersuchen können (kurze Vorstellung einer Toolchain) um auf diesen auch generische Angriffstechniken zu verwenden, die sonst eher im Web-Bereich genutzt werden. Abschließend werden auch Maßnahmen zur Behebung der Problematik besprochen und die damit einhergehenden Schwierigkeiten.
  
Line 25: Line 26:
 
:* Mit dem <b>Auto:</b> <u>[http://www.mgm-sp.com/kontakt vgl Webseite von 'mgm' -> Standort München]</u> Link: '&#8594; Auto'  
 
:* Mit dem <b>Auto:</b> <u>[http://www.mgm-sp.com/kontakt vgl Webseite von 'mgm' -> Standort München]</u> Link: '&#8594; Auto'  
 
: <b>angekommen:</b><br>Im Gebäude nimmt man am besten den Aufzug in den 5. Stock (nach ganz oben - sportliche Kollegen können natürlich auch die Treppe laufen)<br>Nach dem Aussteigen noch ein Stockwerk zu Fuss hochgehen, dann ist man schon auf der Dachterrasse. Unsere Gastgeber werden zur Unterstützung entsprechende Wegweiser im Gebäude aufhängen.
 
: <b>angekommen:</b><br>Im Gebäude nimmt man am besten den Aufzug in den 5. Stock (nach ganz oben - sportliche Kollegen können natürlich auch die Treppe laufen)<br>Nach dem Aussteigen noch ein Stockwerk zu Fuss hochgehen, dann ist man schon auf der Dachterrasse. Unsere Gastgeber werden zur Unterstützung entsprechende Wegweiser im Gebäude aufhängen.
 
+
----->
 +
<!------
 
* Um vorhergehende <b>Anmeldung per Mail bei {{Template:Contact | name = Tom Schoen | email = tom.schoen@owasp.org }}</b> oder {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird <b>gebeten</b> - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
 
* Um vorhergehende <b>Anmeldung per Mail bei {{Template:Contact | name = Tom Schoen | email = tom.schoen@owasp.org }}</b> oder {{Template:Contact | name = Torsten Gigler | email =torsten.gigler@owasp.org }} wird <b>gebeten</b> - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
 
<!----- alter Ort: 2015-01 bis 2016-02  
 
<!----- alter Ort: 2015-01 bis 2016-02  
Line 42: Line 44:
 
== Geplante Stammtisch-Vorträge ==
 
== Geplante Stammtisch-Vorträge ==
 
<!---
 
<!---
* Dezember entfällt wie jedes Jahr wg. 23 Weihnachtsfeiern
+
* Dezember entfällt wie jedes Jahr wg. Weihnachtsfeiern
 
* Dezember 2016: Weihnachtsferien - KEIN OWASP-Stammtisch  
 
* Dezember 2016: Weihnachtsferien - KEIN OWASP-Stammtisch  
 
* 19. Januar 2016: The unsatisfied Security Requests of the Web (Bastian Braun)
 
* 19. Januar 2016: The unsatisfied Security Requests of the Web (Bastian Braun)
 
* 16. Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
 
* 16. Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
 
--->
 
--->
* <b>Wir suchen Vorträge für die weiteren Stammtische in 2016!</b>
+
<!--- im August oben
 +
* <b>Wir suchen Vorträge für die weiteren Stammtische in 2016!</b> <!----->
  
 
Möchte jemand einen Vortrag halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben.<br>  
 
Möchte jemand einen Vortrag halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben.<br>  
Line 131: Line 134:
  
 
== Bereits gehaltene Stammtisch-Vorträge ==
 
== Bereits gehaltene Stammtisch-Vorträge ==
 +
* Juli 2016: <u>[[Media:Java_Deserialisierung_-_Johannes_Baer.pdf|Sicherheitsprobleme bei Java Serialisierung]]</u> (Johannes Bär)
 
* Mai 2016: <u>[[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]]</u> (Michael Spreitzenbarth)
 
* Mai 2016: <u>[[Media:Why_Organisations_should_rely_on_Mobile_AppTesting_-_Michael_Spreitzenbarth+Jennifer_Bombien.pdf|AppChecking - warum ist dies gerade im Firmenumfeld wichtig]]</u> (Michael Spreitzenbarth)
 
* April 2016: Talk: <u>[[Media:OWASP_Secure_Software_Contract_Annex_auf_Deutsch_-_Ralf_Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]]</u> (Ralf Reinhard)<br>Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard)<br>Talk: <u>[[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]]</u> (Torsten Gigler und Thomas Herzog)
 
* April 2016: Talk: <u>[[Media:OWASP_Secure_Software_Contract_Annex_auf_Deutsch_-_Ralf_Reinhardt.pdf|OWASP Secure Software Contract Annex - auf Deutsch]]</u> (Ralf Reinhard)<br>Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard)<br>Talk: <u>[[Media:German_OWASP_Day_2015_-_Nachlese_-_Torsten_Gigler+Thomas_Herzog.pdf|Nachlese zum 7. German OWASP Day 2015]]</u> (Torsten Gigler und Thomas Herzog)

Revision as of 05:47, 22 July 2016

Willkommen beim OWASP-Stammtisch München

... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

A K T U E L L E S :

Im August ist Sommerpause,
der (72.) Münchner OWASP-Stammtisch, findet am Di, 20.09.2016, um 19:00 Uhr satt.
Wir suchen Vorträge für die weiteren Stammtische in 2016!

Schönen Gruß,
Orga-Team für den Münchner OWASP Stammtisch (Tom, Christoph, Thomas und Torsten)


Geplante Stammtisch-Vorträge

Möchte jemand einen Vortrag halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben.

Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.


Allgemeines

Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an Tom Schoen @, Torsten Gigler @ oder Thomas Herzog @ wenden.

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember).

Die Details der letzten "HowTo-Stammtisch"-Umfrage sind hier zu finden.

Bereits gehaltene Stammtisch-Vorträge


Historisches

Details zur letzten Stammtisch-Umfrage vom September 2012

Als Datenbasis dienen 19 gültig abgeschlossenen Umfragen von 19 Teilnehmern, genutzt wurde als technische Plattform SurveyMonkey.

1. Wie oft sollte der Münchner OWASP Stammtisch im Jahr stattfinden?
73,7 % "Einmal im Monat"
15,8 % "Alle zwei Monate"
5,3 % jeweils für "Einmal im Quartal" und "Alle vier Monate"
2. An welchen Wochentagen würdest Du zum Stammtisch kommen wollen?
83,3 % "Di."
77,8 % "Mi."
44,4 % "Do."
33,3 % "Mo."
11,1 % "Sa."
5,6 % jeweils für "Fr." und "So."
3. An welcher Woche würde es Dir am besten passen, zum Stammtisch zu kommen?
88,9 % "3. Woche des Monats"
66,7 % "2. Woche des Monats"
55,6 % "1. Woche des Monats"
33,3 % "4. Woche des Monats"
4. Was wäre die perfekte Uhrzeit für den Stammtisch?
57,9 % "19:00"
15,8 % "20:00"
10,5 % jeweils für "18:00" und "19:30"
5,3 % "17:00"
5. In welchem Stadtbezirk sollte der Stammtisch stattfinden?
Es wurde ein Bewertungsschema zugrunde gelegt. Pluspunkte brachten (absteigend) "Perfekt" (4), "Sehr gut" (3), "Gut" (2) und "Auch OK" (1). Neutral wurde "Meinetwegen" (0) gewertet; für "Eher nicht" gab es Punktabzug (-1), und für "No-Go Area!" doppelten Punktabzug (-2):
3,56 jeweils für "Au-Haidhausen" und "Ludwigsvorstadt-Isarvorstadt"
3,38 "Maxvorstadt"
3,33 "Altstadt-Lehel"
3,00 "Sendling"
2,33 "Schwanthalerhöhe"
2,00 "Schwabing-West"
[..]
0,25 "Hadern"
0,13 "Bogenhausen"
0,00 "Milbertshofen-Am Hart"
-0,10 "Feldmoching-Hasenbergl"
6. Konkrete Vorschläge zu Locations in diesen Stadtbezirken:
  • "Wirtshaus zum Wendlinger"
  • "SAX"
  • "Kleine Schmausefalle"
  • "Altes Kreuz"
  • "Nockherberg"
  • 7. Was ich am Stammtisch ändern würde:
  • "Thema vorgeben / vorbereiten, wenn schon kein Vortrag statt findet" wurde 3 x genannt
  • "Mehr Workshops / Vorträge" wurde 2 x genannt
  • "Location" / "ÖPNV" (war damals "Cafe Waldfrieden")
  • "Einladung 1,0 bis 1,5 Wochen vorher raus, nicht knapper"
  • "Mehr Schwerpunkte"
  • "ggf. Split in 'Technischen Stammtisch' und 'Sozialisierungs-Stammtisch'"
  • 8. Was ich am Stammtisch unbedingt behalten möchte:
  • "Gemütliches Beisammensein / Zeit zum Ratschen unter Gleichgesinnten / Lockere Gespräche"
  • "Kontakte / Community / Zusammenstellung der Menschen"
  • "Fachvorträge"
  • "Feilen an OWASP-Projekten"
  • "(Weiß-)Bier" wurde 2 x genannt
  • 9. Zum Abschluss wollte ich schon immer mal loswerden:
  • "Lob für die Organisation" wurde 4 x genannt

  • (Kleines HowTo für die deutschen wiki-Seiten)