[OWASP IL] Reminder! OWASP IL meeting: This Wed, Sep 5th, 16:45 at Watchfire office in Herzliya

[Ofer Shezaf]

תזכורת! הפגישה הקרובה של OWASP IL ביום ד' הקרוב בשעה 16:45 במשרדי חברת Watchfire בהרצליה פיתוח. כל הפרטים, ובכלל זה התוכנית המפורטת, בהמשך המכתב.

 

אם אתם מתכוונים להגיע, אודה לכם אם תאשרו בדואר חוזר. אם נרשמתם והחלטתם לא להגיע, אשמח אם תודיעו לי כך שנוכל להתארגן טוב יותר.

 

~ עפר

 

From: Ofer Shezaf 
Sent: Wednesday, August 22, 2007 11:30 AM
To: Ofer Shezaf
Subject: Next OWASP IL meeting: Wed, Sep 5th, 16:45 at Watchfire office in Herzliya

 

For English, please scroll down.

שלום לכולם,

 

הפגישה הבאה של OWASP IL, השלוחה המקומית של ארגון OWASP תתקיים במשרדי חברת Watchfire (שגם נותנת חסות לאירוע) בהרצליה פיתוח ביום רביעי ה-5/9 בשעה 16:45. הפגישה היא חלק מיום OWASP, יום בו נערכות פגישות של OWASP בכל רחבי העולם כחלק משבוע האבטחה העולמי. למי שלא יודע OWASP הוא הארגון המוביל בעולם בנושא אבטחת יישומי Web. זהו ארגון ללא כוונת רווח הפועל לשיפור רמת האבטחה של יישומי ואתרי Web ובין הפרוייקטים שלו: מדריך OWASP, שהוא המדריך המוביל לפיתוח קוד בטוח, ו-The OWASP Top 10, התנ”ך של אבטחת יישומי ה-Web. בתוכנית (פירוט מלא על ההרצאות בהמשך ההודעה או בדף OWASP IL).

 

+ ישר מ-BlackHat: מצביעים מתנדנדים, יהונתן אפק, חוקר אבטחת מידע בכיר, Watchfire

+ פורצה: המניע העסקי, הטכנולוגיה ושיטות הגנה, יפתח עמית, מנהל קבוצת מחקר אבטחה, פינג'ן

+ הזרקת תוכן בפתרון לבעיות אבטחה בצד הלקוח, עפר שיזף, מוביל OWASP IL ו-CTO בבריץ' סקיוריטי

 

כולכם מוזמנים לפגישה: ההשתתפות אינה כרוכה בתשלום, אבל אבקש אתכם להודיע לי אם אתם מתכוונים להגיע על מנת שנוכל להערך. מפת הגעה ל-Watchfire ניתן למצוא בדף OWASP IL. נשמח אם בהזדמנות זאת תרשמו גם לרשימת התפוצה שלנו. זאת רשימה דלילה בהודעות המיועדת בעיקר להודעות מסוג זה.

 

דף OWASP IL: http://www.owasp.org/index.php/Israel

רשימת התפוצה: http://lists.owasp.org/mailman/listinfo/owasp-israel

 

The next meeting of OWASP IL, The Israeli Chapter of OWASP, would be held at Watchfire offices in Herzliya on Wednesday, September 5th at 16:45. Watchfire will also sponsor the meeting. The meeting is part of OWASP Day, a Worldwide OWASP one day conferences on Privacy in the 21st Century which is in turn OWASP contribution to the Global Security Week (http://www.globalsecurityweek.com/). 

You can find instructions on how to get to Watchfire office on OWASP IL home page. We also encourage you to register to the OWASP IL mailing list. This is a low volume mailing list dedicated to messages such as this.

OWASP IL: http://www.owasp.org/index.php/Israel

Mailing List: http://lists.owasp.org/mailman/listinfo/owasp-israel

The agenda of the meeting is: 

 

16:45 – 17:00 Gathering and refreshments 

מפגש וכיבוד קל

17:00 – 17:15 OWASP Updates

עדכונים על OWASP ופרוייקטים חדשים ושימושיים

 

17:15 – 18:00 Straight from Blackhat: Dangling Pointers, Jonathan Afek, Senior Security Researcher, Watchfire 

 

Jonathan will bring to us his acclaimed Blackhat presentation. Dangling pointers are a common programming error, but even OWASP experts assumed, until now, that exploiting this vulnerability can lead only to crashes and therefore only to denial of service attacks. The research team at Watchfire proved that dangling pointers can be exploited to take control of a vulnerable system, elevating the severity of dangling pointers. 

The presentation will explain the vulnerability and demonstrate a real exploit of the vulnerability using IIS as an example. 

 

ישר מ-BlackHat: מצביעים מתנדנדים, יהונתן אפק, חוקר אבטחת מידע בכיר, Watchfire

יהונתן יציג בפנינו את ההרצאה שהעביר בכנס Blackhat האחרון ביולי בלס-וגאס. מצביעים מתנדנדים הם שגיאת פיתוח נפוצה, אולם עד היום נחשבו לבעלי סיכון נמוך משום שניתן לנצלם רק על מנת להפיל את השרת ולא על מנת להשתלט עליו או לגנוב מידע. קבוצת המחקר של Watchfire הוכיחה שניתן לנצל מצביעים מתנדנדים על מנת להשתלט על שרת ובכך הוכיחה שהבעיה חמורה יותר משחשבו.

ההרצאה תציג את נושא המצביעים המתנדנדים ותדגים דוגמא לניצולם לצורך השתלטות על שרת באמצעות פגם ב-IIS.


18:00 – 18:15 Break 


18:15 – 19:00 Evasive Crimeware attacks, Business drivers, and Proposed Defense, Iftach Amit, Director Security Research, Finjan 

Any web based attack requires a business model in order to spread. As the director of research for Finjan, Iftach monitors the highly successful web attacks focusing on client abuse and malware installation and the community that creates them. In the presentation Iftach will share with us his research findings. 

The presentation will cover the business drivers of client side attack vectors, explore recent examples of such attacks with an eye-opening review of the attacker community and its operation methods, and conclude with a technical discussion of the cat and mouse game between cutting edge solutions and ever advancing attack vectors. 

 

פורצה: המניע העסקי, הטכנולוגיה ושיטות הגנה, יפתח עמית, מנהל קבוצת מחקר אבטחה, פינג'ן

כל התקפה בעולם ה-Web זקוקה למניע עסקי כדי להפוך לפופולרית. כמנהל המחקר של לברת פינג'ן, יפתח עוקב אחרי מנוע הצמיחה המרכזי של התקפות Web כיום: חדירה לשרתי web לצורך התקפות על מחשבי הלקוח על מנת להתקין עליהם רוגלה. בהרצאה ישתף אתנו יפתח את תוצאות המחקר שלו.

ההרצאה תציג את המניעים העסקיים של שימוש שימוש בשרתי Web לפלטפורמה להתקפת מחשבי קצה, דוגמאות עכשיות להתקפות מסוג זה ופרוטים חושפניים על הקהילה שמאחורי התקפות אלו. לסיום ידון יפתח במשחק החתול והעכבר בין הפתרונות המתקדמים בתחום וההתקפות המשתכללות מיום ליום.

 


19:00 – 19:30 Content Injection as a solution for client side browser vulnerabilities, Ofer Shezaf, OWASP IL Leader; CTO, Breach Security, Breach Security 

As we have seen in Iftach's presentation, clients are not very secure. While we, as web site owners, may not be directly responsible, this situation is just as much a problem for us: law might hold us responsible and the conquered and potentially trusted client may pose a risk to our web site. Good examples of problems which blurs the lines between client and server are the Universal PDF XSS and Cross Site Request Forgery. 

Content Injection is a method proposed by Ivan Ristic, the creator of ModSecurity <http://www.modsecurity.org>  to enable a Web Application Firewall to protect against this family of problems. The presentation will explain this novel method and build on it to offer some practical recipes for protection against client side problems. 

 

הזרקת תוכן בפתרון לבעיות אבטחה בצד הלקוח, עפר שיזף, מוביל OWASP IL ו-CTO בבריץ' סקיוריטי

כפי שראינו בהרצאה של יפתח, מחשבי קצב אינם בטוחים. למרות שלנו כבעלי אתרים אין לכאורה אחריות על כך, למצב יש בשלכות גם עבורינו. החוק עלול להטיל עלינו אחריות ומחשבים שנפרצו, אפילו הם מוגדרים כידידותיים, עשויים לסכן את האתר שלנו. דוגמאות טובות להתקפות מסוג זה החוצות את הגבול שבין לקוח לשרת הן  Universal XSS PDF ו-Cross Site Request Forgery.

הזרקת תוכן היא שיטה שהוצעה ע"י Ivan Ristic המפתח של ModSecurity על מנת לאפשר ל-Web Application Firewalls לתת הגנה מפני בעיות אלו. ההרצאה תציג שיטה חדישה זאת ותמשיך ע"י הצגת מתכונים לשימוש בה להתמודדות עם בעיות אבטחה בלקוח.

 

 

Ofer Shezaf

ofers at breach.com, Phone:+972-9-9560036 #212, Cell: +972-54-4431119

 

CTO, Breach Security

Chair, OWASP Israel

Director, Web Applicaiton Security Consortium

Leader, ModSecurity Core Rule Set Project

Leader, Web Hacking Incidents Database Project

 

-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-israel/attachments/20070902/91b6cf05/attachment-0001.html