[Owasp-germany] 17. OWASP-Stammtisch in Hamburg am 27.1.2015: "So ein Saftladen! - Hacking Session für Developer (und Pentester)"

Dirk Wetter dirk at owasp.org
Mon Jan 5 19:36:23 UTC 2015


Hallo OWASP,

ein frohes Neues aus dem Norden!


Der nächste OWASP-Stammtisch in Hamburg findet in drei Wochen statt und auf uns
wartet etwas Spezielles -- im positiven Sinne! -- von Bjorn.


Die Eckdaten:

Thema:           So ein Saftladen! - Hacking Session für Developer (und Pentester) :
Vortrag/Leitung: Björn Kimminich
Zeit:            18 Uhr (s.t.)
Ort:              Großer Grasbrook 11-13, Hafencity bei Kühne und Nagel (Raum "Forum" im EG.
Anfahrt via U4 bis Überseequartier oder mit den Buslinien 6 und 111)


---snip
Inhalt:

Diesmal gibt es eine "Hands-On"-Session beim OWASP Hamburg Stammtisch: Björn Kimminich wird
kurz die von ihm entwickelte Webanwendung "Juice Shop" vorstellen und danach darf gehackt
werden, bis der Intercepting Proxy raucht!

"Juice Shop" (https://github.com/bkimminich/juice-shop) ist eine komplett in Javascript
geschriebene Webanwendung mit Angular.js Client und RESTful Node.js-Server. Eigentlich eine
tolle Architektur, wenn sich da nicht ein paar Fehler eingeschlichen hätten. Letzte Zählungen
ergaben 23 bekannte Schwachstellen. Von diesen sollen die Stammtisch-Besucher so viele wie
möglich aufspüren - Hilfsmittel wie ZAP oder Burp sind explizit erlaubt. Studium des Quellcodes
oder Analyse der Serverlogs gelten natürlich als Schummeln.

Agenda:
--
1) Intro: Warum wurde der "Juice Shop" als x-te Broken Webapp auf diesem Planeten ins Leben
gerufen? Welche Technolgie- und Architekturentscheidungen liegen ihm zugrunde? (max. 15min)
2.) Hands-On: Alle Stammtisch-Besucher versuchen *lokal auf ihren eigenen Laptops* so viele der
Challenges zu lösen, wie möglich! (ca. 60min)
3.) Wrap-Up: Auf Wunsch können einzelne Challenges nochmal am Beamer vorgeführt werden (max. 30min)

<wichtig>
Eigener Laptop für den Hands-On-Teil ist zwingend notwendig! Am besten installiert ihr den
"Juice Shop" schon vorab! Anleitungen für verschiedene Wege zum Ziel:
https://github.com/bkimminich/juice-shop#getting-started
Bei Problemen mit dem Setup (die nicht von vermurksten Corporate-Proxies o.ä. herrühren) fragt
gerne bei bjoern.kimminich at owasp.org um Rat!
</wichtig>

Teilnehmer mit geringer bis keiner Erfahrung in Sachen Webapp-Schwachstellen und -Pentesting
mögen vielleicht im Vorwege einen Blick in diese kompakte Einführung werfen:
http://webappsec-nutshell.kimminich.de

---snap


Beim OWASP-Stammtisch treffen sich Leute, die sich beruflich oder privat
mit Webanwendungen und deren Sicherheit auseinandersetzen, egal ob
Entwickler, Manager, Pentester oder Webadmins. Die Atmosphäre bei
den OWASP-Veranstaltungen ist offen und locker. Uns geht's um den
Erfahrungsaustausch und das Netzwerken. Wer Produkte verkaufen will,
ist hier leider falsch.

Alle Treffen sind frei, offen und unverbindlich. Man muss kein OWASP-
Mitglied sein. Auch diese Mail kann gerne an Kollegen oder Bekannte
weiterleiten. Unser Thema ist in erster Linie (Web) Application Security.
Man muss dazu nichts von OWASP wissen, ein vorhergehender Blick auf
die Website schadet nicht.

Wer am 27.1.2015 dabei sein mag, möchte mir aus planungstechnischen
Gründen bitte eine Mail senden oder bei Xing das Häkchen setzen
(https://www.xing.com/events/owasp-stammtisch-hh-saftladen-hacking-session-developer-pentester-1492323),
damit unser Gastgeber uns in der richtigen Menge versorgen kann.


Schönen Gruß, Dirk




More information about the Owasp-germany mailing list