[Owasp-germany] Einladung zum 67. Münchner OWASP Stammtisch am 16.02.2016 um 19:00 Uhr

Tom Schoen tom.schoen at owasp.org
Tue Feb 9 12:13:28 UTC 2016


### Einladung zum 67. Münchner OWASP Stammtisch am 16.02.2016 um 19:00 Uhr
in der Gaststätte Villa Flora

 

Hallo zusammen,

 

wir freuen uns, dass wir für unseren Februar Stammtisch  Alexander Inführ
gewinnen konnten, der zu diesem Thema auch schon auf der OWASP AppSec Europe
2015 einen Vortrag gehalten hatte:

 

###Thema: 'Mess with the Web' - Features und Bugs von PDF

Dieser Talk ist ein Walkthrough durch Features und Bugs im Adobe Reader,
über die Alexander Inführ in den letzten Monaten 'gestolpert' ist. Der Fokus
des Vortrags liegt zum Großteil auf der Interaktion von PDF mit dem World
Wide Web, dabei werden auch die Gefahren für die Endnutzer beschrieben
(ausgenommen sind Exploits ala Bufferoverflows).

Zu Beginn wird die Struktur und das Parsingverhalten des Adobe Readers
vorgestellt. Insbesondere welche Probleme es dabei gab und gibt. Der Vortrag
geht auf Features, wie z.B. Actions ein, die durch die 'Launch Action'
bereits eine gewisse Bekanntheit erlangt haben. Ein Hauptaugenmerk liegt
dabei auf der Implementierung von JavaScript im Adobe Reader, da diese über
einen privilegierten Modus verfügt, der vergleichbar mit Addons im Web
Browser ist (lokale Files lesen, lokale Files schreiben...).

Ein weiterer Punkt sind Forms in PDF, dabei handelt es nicht nur um bloße
Textfelder, die ausgefüllt werden, sondern diese verfügen über Features wie:
Script-Execution, XLS-Transformation oder Debug Output Files. Unter Anderem
wird Formcalc vorgestellt, eine Scripting-Sprache, die es ermöglicht
Webseiten aus der Same Origin zu lesen. Es werden noch kurz ein paar weitere
Features von PDF angesprochen.

Zuletzt wird vorgestellt, was Adobe bereits getan hat, um die User besser zu
schützen und welche zusätzlichen Sicherheitsmechanismen verwendet werden
können, um sich vor etwaigen Angriffen zu schützen.

 

Alexander Inführ arbeitet als Pentester für Cure53. Am liebsten beschäftigt
er sich mit der fantastischen Welt der Web Browser und dem dazugehörigen
World-Wide-Web. Dies beinhaltet unbekannte Features, Bugs, Schwachstellen
als auch generelle Browser Quirks. In den letzten Monaten lag sein
Hauptaugenmerk auf dem Adobe Reader und den dazugehörigen Browser Plugins.

 

### Ort: Restaurant Villa Flora

Hansastrasse 44

80686 München

Tel. 089 / 54.71.75.75

< http://www.villa-flora-munich.de >

Anfahrt:

Mit öffentlichen Verkehrsmitteln

Heimeranplatz U4/U5 oder S7, dann 3 Minuten zu Fuß Richtung Hansastraße.

 

Mit dem Auto

Mittlerer Ring Ausfahrt Tübingerstr., von der Tübingerstr. beim Lidl rechts
einbiegen in die Dillwächterstr, am Ende rechts einbiegen in die Hansastr,
nach 150 Metern auf der rechten Seite Parkplatz Villa Flora.

 

### Allgemeines
<https://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative/
M%C3%BCnchen>

Wie üblich haben wir einen separaten Raum reserviert - im Zweifelsfall bitte
einfach am Tresen nach "OWASP (Stammtisch in separatem Raum)" fragen.  Um
vorhergehende Anmeldung per E-Mail (einfach dieser antworten) wird gebeten,
damit wir ggf. weitere Plätze reservieren können - spontane "Zaungäste" sind
aber jederzeit ebenso willkommen.

 

### Spread the word

Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist
in erster Linie (Web) Application Security. Man muss dazu überhaupt nichts
von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet
sicher nicht.

 

Schönen Gruß,

Orga-Team für den Münchner OWASP Stammtisch (Tom, Torsten und Christoph)



More information about the Owasp-germany mailing list