[Owasp-germany] Reminder: Münchner OWASP Stammtisch heute: 16.02.2016 um 19:00 Uhr

Tom Schoen tom.schoen at owasp.org
Tue Feb 16 06:15:24 UTC 2016


Hallo zusammen,

dies ist ein freundlicher Reminder für den Münchner OWASP Stammtisch 
heute  (16.02.2016) um 19:00 Uhr in der Gaststätte Villa Flora.

Wir freuen uns, dass wir für unseren Februar Stammtisch  Alexander 
Inführ gewinnen konnten, der zu diesem Thema auch schon auf der OWASP 
AppSec Europe 2015 einen Vortrag gehalten hatte:

###Thema: 'Mess with the Web' - Features und Bugs von PDF
Dieser Talk ist ein Walkthrough durch Features und Bugs im Adobe Reader, 
über die Alexander Inführ in den letzten Monaten 'gestolpert' ist. Der 
Fokus des Vortrags liegt zum Großteil auf der Interaktion von PDF mit 
dem World Wide Web, dabei werden auch die Gefahren für die Endnutzer 
beschrieben (ausgenommen sind Exploits ala Bufferoverflows).
Zu Beginn wird die Struktur und das Parsingverhalten des Adobe Readers 
vorgestellt. Insbesondere welche Probleme es dabei gab und gibt. Der 
Vortrag geht auf Features, wie z.B. Actions ein, die durch die 'Launch 
Action' bereits eine gewisse Bekanntheit erlangt haben. Ein 
Hauptaugenmerk liegt dabei auf der Implementierung von JavaScript im 
Adobe Reader, da diese über einen privilegierten Modus verfügt, der 
vergleichbar mit Addons im Web Browser ist (lokale Files lesen, lokale 
Files schreiben...).
Ein weiterer Punkt sind Forms in PDF, dabei handelt es nicht nur um 
bloße Textfelder, die ausgefüllt werden, sondern diese verfügen über 
Features wie: Script-Execution, XLS-Transformation oder Debug Output 
Files. Unter Anderem wird Formcalc vorgestellt, eine Scripting-Sprache, 
die es ermöglicht Webseiten aus der Same Origin zu lesen. Es werden noch 
kurz ein paar weitere Features von PDF angesprochen.
Zuletzt wird vorgestellt, was Adobe bereits getan hat, um die User 
besser zu schützen und welche zusätzlichen Sicherheitsmechanismen 
verwendet werden können, um sich vor etwaigen Angriffen zu schützen.

Alexander Inführ arbeitet als Pentester für Cure53. Am liebsten 
beschäftigt er sich mit der fantastischen Welt der Web Browser und dem 
dazugehörigen World-Wide-Web. Dies beinhaltet unbekannte Features, Bugs, 
Schwachstellen als auch generelle Browser Quirks. In den letzten Monaten 
lag sein Hauptaugenmerk auf dem Adobe Reader und den dazugehörigen 
Browser Plugins.

### Ort: Restaurant Villa Flora
Hansastrasse 44
80686 München
Tel. 089 / 54.71.75.75
< http://www.villa-flora-munich.de >
Anfahrt:
Mit öffentlichen Verkehrsmitteln
Heimeranplatz U4/U5 oder S7, dann 3 Minuten zu Fuß Richtung Hansastraße.

Mit dem Auto
Mittlerer Ring Ausfahrt Tübingerstr., von der Tübingerstr. beim Lidl 
rechts einbiegen in die Dillwächterstr, am Ende rechts einbiegen in die 
Hansastr, nach 150 Metern auf der rechten Seite Parkplatz Villa Flora.

### Allgemeines 
<https://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative/M%C3%BCnchen> 

Wie üblich haben wir einen separaten Raum reserviert - im Zweifelsfall 
bitte einfach am Tresen nach "OWASP (Stammtisch in separatem Raum)" 
fragen.  Um vorhergehende Anmeldung per E-Mail (einfach dieser 
antworten) wird gebeten, damit wir ggf. weitere Plätze reservieren 
können - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.

### Spread the word
Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema 
ist in erster Linie (Web) Application Security. Man muss dazu überhaupt 
nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes 
schadet sicher nicht.

Schönen Gruß,
Orga-Team für den Münchner OWASP Stammtisch (Tom, Torsten und Christoph)


More information about the Owasp-germany mailing list