[Owasp-germany] Vortrag+Treffen beim OWASP-Stammtisch Hamburg am 6.10.

Dirk Wetter dirk at owasp.org
Tue Oct 6 06:16:34 UTC 2015


Moin,

hier der Reminder für HEUTE abend.

Bis dann oder die Tage, Dirk

Am 09/25/2015 um 11:14 AM schrieb Dirk Wetter:
> 
> Moin Hamburg und solche, die in der Nahe sind,
> 
> 
> nach der Sommerpause ist endlich wieder Stammtischzeit...
> 
> 
> Eckdaten:
> =========
> Datum:         6.10.2015, 18h
> Ort:           Xing
> Vortragender:  Dirk Wetter
> Thema:         Von einem, der auszog einen SSL/TLS-Checker zu schreiben
> Nachbereitung: Klimperkiste
> 
> Für das Treffen am 6.10. ist es planungstechnisch mehr als hilfreich, entweder auf Xing, Meetup
> oder formlos Dirk Wetter per Mail seine Anwesenheit anzukündigen. Danke!
> 
> 
> Abstract
> ========
> Für SSL/TLS-Testing hat jeder, der sich Pentester nennt, heutzutage was eher mächtiges in der
> Werkzeugkiste. Das sah vor 10 Jahren anders aus. Eine Reihe Kommandos mit einem OpenSSL-Client
> genügten damals fast, um der Verschlüsselung auf den Zahn zu fühlen. Heute, im
> Post-Heartbleed-Zeitalter und zu einer Zeit, in der man von Massenüberwachung spricht, ist
> SSL-Testing keine so triviale Aufgabe mehr und schon gar nicht, wenn man den Ehrgeiz hat,
> solche Tests selbst zu schreiben. Will man die Checks zudem noch in einer Nicht-Hochsprache
> abbilden, klingt das ganze Unterfangen schon ein wenig abenteuerlich.
> 
> Neben dieser Historie zu dem heute erwachsenen Projekt testssl.sh, das Dirk ins Leben gerufen
> hat, kann man beim Vortrag lernen, was Tolles mit OpenSSL machen kann, es wird gezeigt, dass
> man mit Shellprogrammierung (/bin/bash) tierisch weit kommt, wo Grenzen und Gefahren sind, und
> dass es sogar etwas wie eine Source-Code-Analyse gibt. Er beleuchtet auch, wie man
> Netzprogrammierung mit bash erledigt. Damit die Praxis nicht zu kurz kommt, gibt es auch ein
> paar Demos.
> 
> Wenn Zeit bleibt, geht Dirk in seinem Vortrag noch auf einige Tief- und Abgründe von
> SSL-Handshakes ein, die glücklicherweise Browser von uns fernhalten.
> 
> 
> Generelles zum OWASP-Stammtisch
> ================================
> Beim Stammtisch treffen sich Leute, die sich beruflich oder privat mit Anwendungen im Web und
> deren Sicherheit auseinandersetzen, Entwickler, Manager, "Pentester" und alle an Websicherheit
> interessierte. Die Atmosphäre bei OWASP ist offen und locker. Uns geht's um den
> Erfahrungsaustausch. Wer Produkte oder Dienstleistungen verkaufen will, ist hier falsch. Ihr
> könnt gerne Kollegen oder Bekannte den Hinweis auf den Stammtisch weiterleiten, alle Treffen
> sind frei, offen und kostenlos. Unser Thema ist in erster Linie (Web) Application Security. Man
> muss dazu nichts von OWASP wissen, ein vorhergehender Blick auf die Website (owasp.org) schadet
> allerdings nicht.
> 
> 
> Bis dann!
> 
> Dirk
> 
> 
> PS: Aussicht auf den November: https://owasp.de/hamburg/
> 

-- 
German OWASP Chapter Lead
Send me encrypted mails (Key ID 0xB818C039)



More information about the Owasp-germany mailing list