[Owasp-germany] Diverse Vorschläge für Meeting und überhaupt

Tobias Gondrom tgondrom at opentext.com
Fri Aug 17 06:03:22 EDT 2007


Hallo Alexander Meisel, 

vielen Dank für den Vortragsvorschlag. Da ich selbst auf dem Gebiet der Evaluierung noch nicht so viel gemacht habe, fände ich das sehr interessant.  In der offenen Telco am 28.8. gehen wir die gesamte Liste durch und wählen dann die Vorträge aus. 

Und stimme zu, ich würde mich auch als eines der ersten "einfachen" Schritte über einen besseren gegenseitigen Austausch über Technologien von Web Application Security freuen, gepaart oder geleitet an der gemeinsamen Arbeit an ein oder zwei Projektzielen. 

Viele Grüße aus München, Tobias


> -----Original Message-----
> From: owasp-germany-bounces at lists.owasp.org [mailto:owasp-germany-
> bounces at lists.owasp.org] On Behalf Of Alexander Meisel
> Sent: Thursday, August 16, 2007 10:24 PM
> To: owasp-germany at lists.owasp.org
> Subject: Re: [Owasp-germany] Diverse Vorschläge für Meeting und überhaupt
> 
> Hallo zusammen,
> 
> die art of defence GmbH als Hersteller von Produkten im Bereich Web
> Application Security könnte einen Vortag zum Thema: Evaluation Criteria
> der OWASP in Bezug auf den europäischen bzw. D-A-CH Markt beisteuern.
> Die derzeitige Evaluation Critieria bedarf noch einiges an Arbeit bevor
> sie im deutschsprachingen Markt bedenkenlos zur Evaluation einer
> WebAppSec-Lösung herangezogen werden kann.
> 
> Unabhängig davon sehen wir in der OWASP Deutschland ein großes Potential
>  Hersteller, Dienstleister und Anwender an einem Tisch zubekommen um
> gemeinsam Lösungen im Bereich Web Application Security zu diskutieren.
> 
> Was mir persönlich im Moment fehlt, ist ein freundlicher Austausch von
> Informationen über Technologie, "Best Practises" und teilweise auch
> Politik im Bereich Web Application Security. Die USA ist nicht umsonst
> so dominierend in diesem Bereich, da dort viel offener über neue Themen,
> Probleme und Lösungen diskutiert wird. Mit ein klein wenig Anstrengung
> sollte es für uns gemeinsam kein Problem sein auf bessere Lösungen zu
> kommen, welche "passgenau" für D-A-CH sind.
> 
> Beste Grüße aus Regensburg
> 
>          Alexander Meisel
> 
> 
> Thomas Schreiber (SecureNet GmbH) wrote:
> > Hallo zusammen,
> >
> > ich möchte folgende bei uns - SecureNet - laufende Initiativen in die
> OWASP
> > Germany einbringen, bzw. sie zur Diskussion stellen und Vorschläge für
> > Beiträge zum initialen Meeting im September machen.
> >
> > Vorab aber mal zur Identitätsfindung: Welches Ziel verfolgt ein German
> > Chapter? Ich sehe da im Wesentlichen zwei mögliche Zielsetzungen.
> Erstens,
> > bestehende Vernetzungen und die aus der räumlichen Nähe sich ergebende
> > Möglichkeit zum Kontakteknüpfen zu nutzen, um Aktivitäten in Gang zu
> setzen
> > - wobei diese aber nicht unbedingt in speziellen deutschen
> Fragestellungen
> > münden müssen. Zweitens, auf Deutschland oder den deutschsprachigen Raum
> > bezogene Aspekte aus dem OWASP-Kontext heraus zu adressieren, wie z.B.
> > Einbeziehung des rechtlichen Rahmens oder anderer lokaler Gegebenheiten,
> > Übersetzungen ins Deutsche, lokale PR für die OWASP-Sache,
> schwerpunktmäßige
> > Beschäftigung mit D-A-CH Produkten, Berücksichtigung von Anforderungen
> und
> > Gegebenheiten des lokalen Marktes etc.
> >
> > Ich plädiere für eine schwerpunktmäßige Ausrichtung der zweiten Art, da
> mir
> > diese sinn- und identitätsstiftender für ein German Chapter scheint. Was
> > natürlich nicht bedeuten muss, dass man erstens komplett außer acht
> lässt.
> >
> > Inhalte für OWASP Germany
> > =========================
> > 1. Scavenger
> > ... ist ein Tool, das wir bisher nur intern für WAS Pentests eingesetzt
> > haben. Es kann sich in verschiedene MITM-Proxys (z.B. WebScarab, Burp)
> > einklinken und deren Ausgaben und Traces analysieren und verdichten.
> Kann
> > leicht um weitere Auswertungen erweitert und an andere HTML/HTTP-Output
> > generierende Tools angepasst werden. Die Vervollständigung der
> > Auswertemodule und Schnittstellen wäre eine Baustelle und der nächste
> große
> > Schritt das Aufsetzen einer Dialogoberfläche.
> >
> > 2. WAS Checkliste / Zertifikat
> > Wir haben die Erfahrung gemacht, dass in Unternehmen ein Bedarf besteht
> an
> > Abnahmekriterien für die Sicherheit von Webanwendungen. Vorschlag: Aus
> den
> > bestehenden Dokumenten wie OWASP-Guide/Testingguide und BSI-Best
> > Practices-Guide eine Checkliste ableiten, die - zunächst für die
> > unternehmensinterne Verwendung - Verbindlichkeiten schafft und
> > möglicherweise zu einer allgemeinen Zertifizierungsgrundlage
> heranwächst.
> > (NB: kollidiert nicht mit Mateo Meuccis Certification Project, bei dem
> es um
> > die Zertifizierung von Auditoren und Entwicklern geht)
> >
> > 3. WAS Design Patterns
> > Die Idee der Design Patterns [1] wurde unseres Wissens nach bisher nur
> in
> > Ansätzen auf die Web Application Security angewandt. Wir denken, dass
> dieser
> > Ansatz Potential besitzt, um Best Practices für WAS für die Designphase
> > festzuschreiben. Auf intern. OWASP-Ebene laufen augenscheinlich
> > diesbezüglich noch keine Initiativen.
> >
> > 4. BSI-Guide
> > Letzten August ist der von uns verfasste Guide des BSI "Maßnahmenkatalog
> und
> > Best Practices zur Sicherheit von Webanwendungen" -
> > http://www.bsi.de/literat/studien/websec/WebSec.pdf - erschienen. Die
> > Inhalte in diesem Dokument unterliegen dem raschen technischen Wandel
> sowie
> > fortschreitenden Erkenntisprozess - will heißen: Sie veralten recht
> schnell.
> > Wir haben daher dem BSI vorgeschlagen, es zu einem 'lebenden' Dokument
> zu
> > machen, also als Forum oder Wiki aufzusetzen und die Community in die
> Pflege
> > einzubeziehen. Die OWASP Germany wäre hier ein sehr passender Rahmen.
> > Allerdings stellt sich die Frage, welche Berechtigung hat soetwas
> angesichts
> > der Tatsache, dass es ja schon den 'großen' OWASP-Guide gibt. Ich sehe
> da
> > durchaus Möglichkeiten in Form einer nationalen Ausrichtung. Das würde
> ich
> > jedoch gerne hier zur Diskussion stellen. Allerdings muss das BSI dem
> Ganzen
> > überhaupt erst noch zustimmen.
> >
> >
> > Vortragsvorschläge
> > ==================
> > 1. WAS Checkliste / Zertifikat
> > Skizzierung eines Vorgehens zur Erstellung einer WAS Checkliste (wie
> oben
> > beschrieben)
> >
> > 2. WAS Design Patterns
> > Was sind Software Design Patterns und wie lassen sie sich auf die WAS
> > übertragen. Was ist zu tun?
> >
> > 3. Session-Hijacking/XSS
> > Eine vor Jahren entdeckte Schwachstelle in einer großen
> > Versteigerungsplattform ist nach wie vor vorhanden. Nur hat diese heute
> weit
> > mehr Schadenspotential als damals. ==> Demonstration der Schwachstelle
> und
> > verschiedener fortgeschrittener Angriffstechniken mit XSS. (das setzt
> > allerdings voraus, dass der Betreiber das bis dahin repariert hat,
> > ansonsten: an einer Demo-Anwendung zeigen)
> >
> > 4. WAFs und spezielle Sicherheitstechniken
> > Eine Web Application Firewall (WAF) wird vielfach verstanden als
> schlichter
> > RegEx-Filter, der schädliche Angriffsmuster erkennen und blocken kann.
> Oder
> > aber von manchen in ihrem Nutzen vollständig in Frage gestellt mit dem
> > Argument, dass die Fehler in der Webanwendung zu beseitigen sind (was ja
> > auch richtig ist). WAFs bringen darüber hinaus aber Techniken in eine
> > Sicherheitsarchitektur ein, die erheblichen Zusatznutzen bringen und auf
> die
> > man ohne WAF verzichten müsste. Beispiel: URL-Encryption, SSL-
> SessionIDs,
> > Smart Form Protection, Anomalie-Erkennung. Es ist interessant, sich
> diese
> > Konzepte einmal näher anzusehen. (Hier könnte vielleicht ein Hersteller
> > einen Beitrag leisten - vorzugsweise aus deutschsprachigen Landen, siehe
> > oben.)
> >
> > 5. "Privacy in the 21st Century"
> > Bei näherem Hinsehen scheint es mir doch eher fragwürdig, die
> Veranstaltung
> > als Beitrag zur Global Security Week zu deklarieren. "Privacy in the
> 21st
> > Century" ist sicher nicht das, was uns beim Neufindungs-Meeting am
> stärksten
> > bewegt. Und an die 9/11-Aktivitäten muss man sich auch nicht unbedingt
> > dranhängen, finde ich...
> >
> > Ansonsten
> > =========
> > Wir haben eine umfangreiche Mailingliste von WAS-Interessierten. Ich
> könnte
> > anbieten, darin auf OWASP Germany hinzuweisen und zum Meeting
> einzuladen.
> > (Presse würde ich vorab erstmal rauslassen, aber nach dem Meeting, wenn
> > erfolgreich, mit einer entsprechenden Pressemitteilung beglücken)
> >
> > Wer sind wir eigentlich?: Wir sind ein Softwarehaus und haben schon vor
> etwa
> > 5 Jahren begonnen, uns intensiv mit WAS auseinanderzusetzen - nachdem
> wir
> > festgestellt haben, dass dieselben Schwachstellen, die wir in unsere
> > Webanwendungen damals eingebaut haben, in fast jeder Webanwendung zu
> finden
> > sind...
> >
> >
> > Soweit erstmal ... sorry für die Länge - hatte keine Zeit, mich kürzer
> zu
> > fassen ;)
> >
> > Beste Grüße
> > Thomas Schreiber
> > _____________________________________
> >
> > SecureNet GmbH
> > Frankfurter Ring 193a
> > D-80807 München
> > Tel: +49 89 32133-610
> > Fax: +49 89 32133-699
> > Zentrale: -600
> > ts at securenet.de
> > www.securenet.de
> >
> >
> > [1] Design Pattern
> > Wikipedia.de: >>Ein Entwurfsmuster (engl. design pattern) beschreibt
> eine
> > bewährte Schablone für ein Entwurfsproblem. Es stellt damit eine
> > wiederverwendbare Vorlage zur Problemlösung dar. Entstanden ist der
> Ausdruck
> > in der Architektur, von der er für die Softwareentwicklung übernommen
> > wurde.<<
> >
> >
> > _______________________________________________
> > Owasp-germany mailing list
> > Owasp-germany at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-germany
> >
> 
> --
> Alexander Meisel (CTO) - alexander.meisel at artofdefence.com
> art of defence GmbH, Bruderwöhrdstr 15b, 93055 Regensburg, Germany
> Amtsgericht Regensburg HRB 9708
> Geschäftsführer: Dr. Georg Heß, Alexander Meisel
> _______________________________________________
> Owasp-germany mailing list
> Owasp-germany at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-germany


More information about the Owasp-germany mailing list