[Owasp-germany] Diverse Vorschläge für Meeting und überhaupt

Alexander Meisel Alexander.Meisel at artofdefence.com
Thu Aug 16 16:24:12 EDT 2007


Hallo zusammen,

die art of defence GmbH als Hersteller von Produkten im Bereich Web
Application Security könnte einen Vortag zum Thema: Evaluation Criteria
der OWASP in Bezug auf den europäischen bzw. D-A-CH Markt beisteuern.
Die derzeitige Evaluation Critieria bedarf noch einiges an Arbeit bevor
sie im deutschsprachingen Markt bedenkenlos zur Evaluation einer
WebAppSec-Lösung herangezogen werden kann.

Unabhängig davon sehen wir in der OWASP Deutschland ein großes Potential
 Hersteller, Dienstleister und Anwender an einem Tisch zubekommen um
gemeinsam Lösungen im Bereich Web Application Security zu diskutieren.

Was mir persönlich im Moment fehlt, ist ein freundlicher Austausch von
Informationen über Technologie, "Best Practises" und teilweise auch
Politik im Bereich Web Application Security. Die USA ist nicht umsonst
so dominierend in diesem Bereich, da dort viel offener über neue Themen,
Probleme und Lösungen diskutiert wird. Mit ein klein wenig Anstrengung
sollte es für uns gemeinsam kein Problem sein auf bessere Lösungen zu
kommen, welche "passgenau" für D-A-CH sind.

Beste Grüße aus Regensburg

         Alexander Meisel


Thomas Schreiber (SecureNet GmbH) wrote:
> Hallo zusammen,
> 
> ich möchte folgende bei uns - SecureNet - laufende Initiativen in die OWASP
> Germany einbringen, bzw. sie zur Diskussion stellen und Vorschläge für
> Beiträge zum initialen Meeting im September machen.
> 
> Vorab aber mal zur Identitätsfindung: Welches Ziel verfolgt ein German
> Chapter? Ich sehe da im Wesentlichen zwei mögliche Zielsetzungen. Erstens,
> bestehende Vernetzungen und die aus der räumlichen Nähe sich ergebende
> Möglichkeit zum Kontakteknüpfen zu nutzen, um Aktivitäten in Gang zu setzen
> - wobei diese aber nicht unbedingt in speziellen deutschen Fragestellungen
> münden müssen. Zweitens, auf Deutschland oder den deutschsprachigen Raum
> bezogene Aspekte aus dem OWASP-Kontext heraus zu adressieren, wie z.B.
> Einbeziehung des rechtlichen Rahmens oder anderer lokaler Gegebenheiten,
> Übersetzungen ins Deutsche, lokale PR für die OWASP-Sache, schwerpunktmäßige
> Beschäftigung mit D-A-CH Produkten, Berücksichtigung von Anforderungen und
> Gegebenheiten des lokalen Marktes etc.
> 
> Ich plädiere für eine schwerpunktmäßige Ausrichtung der zweiten Art, da mir
> diese sinn- und identitätsstiftender für ein German Chapter scheint. Was
> natürlich nicht bedeuten muss, dass man erstens komplett außer acht lässt.
> 
> Inhalte für OWASP Germany
> =========================
> 1. Scavenger
> ... ist ein Tool, das wir bisher nur intern für WAS Pentests eingesetzt
> haben. Es kann sich in verschiedene MITM-Proxys (z.B. WebScarab, Burp)
> einklinken und deren Ausgaben und Traces analysieren und verdichten. Kann
> leicht um weitere Auswertungen erweitert und an andere HTML/HTTP-Output
> generierende Tools angepasst werden. Die Vervollständigung der
> Auswertemodule und Schnittstellen wäre eine Baustelle und der nächste große
> Schritt das Aufsetzen einer Dialogoberfläche.
> 
> 2. WAS Checkliste / Zertifikat
> Wir haben die Erfahrung gemacht, dass in Unternehmen ein Bedarf besteht an
> Abnahmekriterien für die Sicherheit von Webanwendungen. Vorschlag: Aus den
> bestehenden Dokumenten wie OWASP-Guide/Testingguide und BSI-Best
> Practices-Guide eine Checkliste ableiten, die - zunächst für die
> unternehmensinterne Verwendung - Verbindlichkeiten schafft und
> möglicherweise zu einer allgemeinen Zertifizierungsgrundlage heranwächst. 
> (NB: kollidiert nicht mit Mateo Meuccis Certification Project, bei dem es um
> die Zertifizierung von Auditoren und Entwicklern geht)
> 
> 3. WAS Design Patterns
> Die Idee der Design Patterns [1] wurde unseres Wissens nach bisher nur in
> Ansätzen auf die Web Application Security angewandt. Wir denken, dass dieser
> Ansatz Potential besitzt, um Best Practices für WAS für die Designphase
> festzuschreiben. Auf intern. OWASP-Ebene laufen augenscheinlich
> diesbezüglich noch keine Initiativen.
> 
> 4. BSI-Guide
> Letzten August ist der von uns verfasste Guide des BSI "Maßnahmenkatalog und
> Best Practices zur Sicherheit von Webanwendungen" -
> http://www.bsi.de/literat/studien/websec/WebSec.pdf - erschienen. Die
> Inhalte in diesem Dokument unterliegen dem raschen technischen Wandel sowie
> fortschreitenden Erkenntisprozess - will heißen: Sie veralten recht schnell.
> Wir haben daher dem BSI vorgeschlagen, es zu einem 'lebenden' Dokument zu
> machen, also als Forum oder Wiki aufzusetzen und die Community in die Pflege
> einzubeziehen. Die OWASP Germany wäre hier ein sehr passender Rahmen.
> Allerdings stellt sich die Frage, welche Berechtigung hat soetwas angesichts
> der Tatsache, dass es ja schon den 'großen' OWASP-Guide gibt. Ich sehe da
> durchaus Möglichkeiten in Form einer nationalen Ausrichtung. Das würde ich
> jedoch gerne hier zur Diskussion stellen. Allerdings muss das BSI dem Ganzen
> überhaupt erst noch zustimmen.
> 
> 
> Vortragsvorschläge
> ==================
> 1. WAS Checkliste / Zertifikat
> Skizzierung eines Vorgehens zur Erstellung einer WAS Checkliste (wie oben
> beschrieben)
> 
> 2. WAS Design Patterns
> Was sind Software Design Patterns und wie lassen sie sich auf die WAS
> übertragen. Was ist zu tun?
> 
> 3. Session-Hijacking/XSS
> Eine vor Jahren entdeckte Schwachstelle in einer großen
> Versteigerungsplattform ist nach wie vor vorhanden. Nur hat diese heute weit
> mehr Schadenspotential als damals. ==> Demonstration der Schwachstelle und
> verschiedener fortgeschrittener Angriffstechniken mit XSS. (das setzt
> allerdings voraus, dass der Betreiber das bis dahin repariert hat,
> ansonsten: an einer Demo-Anwendung zeigen)
> 
> 4. WAFs und spezielle Sicherheitstechniken
> Eine Web Application Firewall (WAF) wird vielfach verstanden als schlichter
> RegEx-Filter, der schädliche Angriffsmuster erkennen und blocken kann. Oder
> aber von manchen in ihrem Nutzen vollständig in Frage gestellt mit dem
> Argument, dass die Fehler in der Webanwendung zu beseitigen sind (was ja
> auch richtig ist). WAFs bringen darüber hinaus aber Techniken in eine
> Sicherheitsarchitektur ein, die erheblichen Zusatznutzen bringen und auf die
> man ohne WAF verzichten müsste. Beispiel: URL-Encryption, SSL-SessionIDs,
> Smart Form Protection, Anomalie-Erkennung. Es ist interessant, sich diese
> Konzepte einmal näher anzusehen. (Hier könnte vielleicht ein Hersteller
> einen Beitrag leisten - vorzugsweise aus deutschsprachigen Landen, siehe
> oben.)
> 
> 5. "Privacy in the 21st Century"
> Bei näherem Hinsehen scheint es mir doch eher fragwürdig, die Veranstaltung
> als Beitrag zur Global Security Week zu deklarieren. "Privacy in the 21st
> Century" ist sicher nicht das, was uns beim Neufindungs-Meeting am stärksten
> bewegt. Und an die 9/11-Aktivitäten muss man sich auch nicht unbedingt
> dranhängen, finde ich...
> 
> Ansonsten
> =========
> Wir haben eine umfangreiche Mailingliste von WAS-Interessierten. Ich könnte
> anbieten, darin auf OWASP Germany hinzuweisen und zum Meeting einzuladen.
> (Presse würde ich vorab erstmal rauslassen, aber nach dem Meeting, wenn
> erfolgreich, mit einer entsprechenden Pressemitteilung beglücken)
> 
> Wer sind wir eigentlich?: Wir sind ein Softwarehaus und haben schon vor etwa
> 5 Jahren begonnen, uns intensiv mit WAS auseinanderzusetzen - nachdem wir
> festgestellt haben, dass dieselben Schwachstellen, die wir in unsere
> Webanwendungen damals eingebaut haben, in fast jeder Webanwendung zu finden
> sind...
> 
> 
> Soweit erstmal ... sorry für die Länge - hatte keine Zeit, mich kürzer zu
> fassen ;)
> 
> Beste Grüße
> Thomas Schreiber
> _____________________________________
> 
> SecureNet GmbH
> Frankfurter Ring 193a
> D-80807 München
> Tel: +49 89 32133-610
> Fax: +49 89 32133-699
> Zentrale: -600
> ts at securenet.de
> www.securenet.de 
> 
> 
> [1] Design Pattern
> Wikipedia.de: >>Ein Entwurfsmuster (engl. design pattern) beschreibt eine
> bewährte Schablone für ein Entwurfsproblem. Es stellt damit eine
> wiederverwendbare Vorlage zur Problemlösung dar. Entstanden ist der Ausdruck
> in der Architektur, von der er für die Softwareentwicklung übernommen
> wurde.<<
> 
> 
> _______________________________________________
> Owasp-germany mailing list
> Owasp-germany at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-germany
> 

-- 
Alexander Meisel (CTO) - alexander.meisel at artofdefence.com
art of defence GmbH, Bruderwöhrdstr 15b, 93055 Regensburg, Germany
Amtsgericht Regensburg HRB 9708
Geschäftsführer: Dr. Georg Heß, Alexander Meisel


More information about the Owasp-germany mailing list