[Owasp-Karlsruhe] 47. OWASP Stammtisch Karlsruhe

zai zai at z.ai
So Okt 29 14:09:36 UTC 2017


Hallo zusammen!

Beim 47. OWASP Treffen in Karlsruhe wird uns Matthias (
https://twitter.com/_xhr_ ) zunächst ein kurzes Review der diesjährige
44con geben.

Im Anschluss daran präsentiert uns Martin ( https://twitter.com/datenkeller
) den Vortrag "Deemon: Detecting CSRF with Dynamic Analysis and Property
Graphs" vom kommenden German OWASP Day (
https://www.owasp.org/index.php/German_OWASP_Day_2017).

Um den Abend gemütlich ausklingen zu lassen geht es danach ins nahegelegene
Vogelbräu.
Wer beim Vogelbräu dabei sein möchte, meldet sich bitte via Meetup, Doodle,
E-Mail oder einem anderen Kommunikationskanal an, damit wir genug Plätze
reservieren können.
https://www.meetup.com/preview/owasp-karlsruhe/events/244623780
https://doodle.com/poll/sbpbdyd5mzus6fr2

Deemon: Detecting CSRF with Dynamic Analysis and Property Graphs

Abstract: Cross-Site Request Forgery (CSRF) vulnerabilities are a severe
class of web vulnerabilities that have received only marginal attention
from the research and security testing communities. While much effort has
been spent on countermeasures and detection of XSS and SQLi, to date, the
detection of CSRF vulnerabilities is still performed predominantly manually.

In this talk, we present Deemon, to the best of our knowledge the first
automated security testing framework to discover CSRF vulnerabilities. Our
approach is based on a new modeling paradigm which captures multiple
aspects of web applications, including execution traces, data flows, and
architecture tiers in a unified, comprehensive property graph. We present
the paradigm and show how a concrete model can be built automatically using
dynamic traces. Then, using graph traversals, we mine for potentially
vulnerable operations. Using the information captured in the model, our
approach then automatically creates and conducts security tests, to
practically validate the found CSRF issues. We evaluate the effectiveness
of Deemon with 10 popular open source web applications. Our experiments
uncovered 14 previously unknown CSRF vulnerabilities that can be exploited,
for instance, to take over user accounts or entire websites.

Wegbeschreibung

In der Stadtmitte von Karlsruhe im Hinterhof der Steinstraße 23 (im
Stadtplan am Lidellplatz, nördlich der Kriegsstraße/B10 und westlich der
Fritz-Erler-Straße). An dem Hinterhof kann man leicht vorbeilaufen, man
sieht von Lidellplatz erstmal nur ein relativ grosses Tor. (Sollte dieses
abgeschlossen sein, einfach im Club anrufen.) Wenn man durch das Tor
durchgeht, sieht man zuerst eine Töpferei und dann rechts eine
Fahrradwerkstatt. Gegenüber vom Querfunk im Bau West, im 1. OG befindet
sich das Entropia. Nach der Treppe müsst ihr durch eine Tür und folgt dem
Gang nach links bis zum Ende.
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.owasp.org/pipermail/owasp-karlsruhe/attachments/20171029/06aebe48/attachment.html>


More information about the Owasp-Karlsruhe mailing list