[Owasp-germany] Vortrag+Treffen beim OWASP-Stammtisch Hamburg am 6.10.

Dirk Wetter dirk at owasp.org
Fri Sep 25 09:14:21 UTC 2015


Moin Hamburg und solche, die in der Nahe sind,


nach der Sommerpause ist endlich wieder Stammtischzeit...


Eckdaten:
=========
Datum:         6.10.2015, 18h
Ort:           Xing
Vortragender:  Dirk Wetter
Thema:         Von einem, der auszog einen SSL/TLS-Checker zu schreiben
Nachbereitung: Klimperkiste

Für das Treffen am 6.10. ist es planungstechnisch mehr als hilfreich, entweder auf Xing, Meetup
oder formlos Dirk Wetter per Mail seine Anwesenheit anzukündigen. Danke!


Abstract
========
Für SSL/TLS-Testing hat jeder, der sich Pentester nennt, heutzutage was eher mächtiges in der
Werkzeugkiste. Das sah vor 10 Jahren anders aus. Eine Reihe Kommandos mit einem OpenSSL-Client
genügten damals fast, um der Verschlüsselung auf den Zahn zu fühlen. Heute, im
Post-Heartbleed-Zeitalter und zu einer Zeit, in der man von Massenüberwachung spricht, ist
SSL-Testing keine so triviale Aufgabe mehr und schon gar nicht, wenn man den Ehrgeiz hat,
solche Tests selbst zu schreiben. Will man die Checks zudem noch in einer Nicht-Hochsprache
abbilden, klingt das ganze Unterfangen schon ein wenig abenteuerlich.

Neben dieser Historie zu dem heute erwachsenen Projekt testssl.sh, das Dirk ins Leben gerufen
hat, kann man beim Vortrag lernen, was Tolles mit OpenSSL machen kann, es wird gezeigt, dass
man mit Shellprogrammierung (/bin/bash) tierisch weit kommt, wo Grenzen und Gefahren sind, und
dass es sogar etwas wie eine Source-Code-Analyse gibt. Er beleuchtet auch, wie man
Netzprogrammierung mit bash erledigt. Damit die Praxis nicht zu kurz kommt, gibt es auch ein
paar Demos.

Wenn Zeit bleibt, geht Dirk in seinem Vortrag noch auf einige Tief- und Abgründe von
SSL-Handshakes ein, die glücklicherweise Browser von uns fernhalten.


Generelles zum OWASP-Stammtisch
================================
Beim Stammtisch treffen sich Leute, die sich beruflich oder privat mit Anwendungen im Web und
deren Sicherheit auseinandersetzen, Entwickler, Manager, "Pentester" und alle an Websicherheit
interessierte. Die Atmosphäre bei OWASP ist offen und locker. Uns geht's um den
Erfahrungsaustausch. Wer Produkte oder Dienstleistungen verkaufen will, ist hier falsch. Ihr
könnt gerne Kollegen oder Bekannte den Hinweis auf den Stammtisch weiterleiten, alle Treffen
sind frei, offen und kostenlos. Unser Thema ist in erster Linie (Web) Application Security. Man
muss dazu nichts von OWASP wissen, ein vorhergehender Blick auf die Website (owasp.org) schadet
allerdings nicht.


Bis dann!

Dirk


PS: Aussicht auf den November: https://owasp.de/hamburg/

-- 
German OWASP Chapter Lead
Send me encrypted mails (Key ID 0xB818C039)



More information about the Owasp-germany mailing list