<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:st1="urn:schemas-microsoft-com:office:smarttags" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="PostalCode"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="State"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="Street"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="address"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="City"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="place"/>
<!--[if !mso]>
<style>
st1\:*{behavior:url(#default#ieooui) }
</style>
<![endif]-->
<style>
<!--
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline;}
p
        {mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman";}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:Arial;
        color:windowtext;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.1in 1.0in 1.1in;}
div.Section1
        {page:Section1;}
-->
</style>

</head>

<body lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'>Greetings IT Professionals,<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'>We have two outstanding
speakers confirmed for our next OWASP meeting which is scheduled for Thursday,
June 29, 2006.&nbsp; Kris Kahn of Seagate will discuss risk management and security
analysis strategies for secure software development.&nbsp; Jeremiah Grossman of
WhiteHat Security will preview his BlackHat 2006 presentation on new JavaScript
attack techniques used to take control of internal web-based and Intranet
applications.&nbsp; As always, the event is open to the public and free to attend.&nbsp; <o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'>More details about the
meeting are available below.&nbsp; Feel free to invite colleagues and friends
interested in attending this meeting.&nbsp; Please email to RSVP for this event at <a
href="mailto:brian.bertacini@owasp.org">brian.bertacini@owasp.org</a> or visit </span></font><font
size=2 face=Arial><span style='font-size:10.0pt;font-family:Arial'><a
href="http://www.mollyguard.com/event/30457098">http://www.mollyguard.com/event/30457098</a><font
color="#333333"><span style='color:#333333'>.</span></font></span></font><font
size=2 face=Arial><span lang=EN style='font-size:10.0pt;font-family:Arial'><o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><b><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial;font-weight:bold'><o:p>&nbsp;</o:p></span></font></b></p>

<p class=MsoNormal style='text-autospace:none'><b><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial;font-weight:bold'><o:p>&nbsp;</o:p></span></font></b></p>

<p class=MsoNormal style='text-autospace:none'><b><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial;font-weight:bold'>Agenda and
Presentations:</span></font></b><font size=2 face=Arial><span lang=EN
style='font-size:10.0pt;font-family:Arial'><br>
6:00pm &#8211; 6:30pm&nbsp;&nbsp; Check-in and reception (food &amp; beverages provided)<br>
6:30pm &#8211; 6:40pm&nbsp;&nbsp; Chapter announcements<br>
6:40pm &#8211; 7:30pm&nbsp;&nbsp; FORMA for Secure Software Development, Kris Kahn,
Seagate Technology<br>
7:35pm &#8211; 8:25pm&nbsp;&nbsp; JavaScript Attacks &amp; Intranet Applications,
Jeremiah Grossman, WhiteHat Security<br>
8:30pm &#8211; 9:00pm&nbsp;&nbsp; Open discussion &amp; Networking<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><b><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial;font-weight:bold'><o:p>&nbsp;</o:p></span></font></b></p>

<p class=MsoNormal style='text-autospace:none'><b><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial;font-weight:bold'>Venue:</span></font></b><font
size=2 face=Arial><span lang=EN style='font-size:10.0pt;font-family:Arial'><br>
<st1:place w:st="on"><st1:City w:st="on">San Jose</st1:City></st1:place> Hyatt
(Airport)<br>
<st1:Street w:st="on"><st1:address w:st="on">1740 North First Street</st1:address></st1:Street><br>
<st1:place w:st="on"><st1:City w:st="on">San Jose</st1:City>, <st1:State w:st="on">CA</st1:State>
 <st1:PostalCode w:st="on">95112</st1:PostalCode></st1:place><o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'><br>
<br>
<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><b><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial;font-weight:bold'>Framework
of Risk Management &amp; Analysis (FoRMA) for Secure Software Development</span></font></b><font
size=2 face=Arial><span lang=EN style='font-size:10.0pt;font-family:Arial'><br>
<b><i><span style='font-weight:bold;font-style:italic'>Presented by: Kris Kahn,
Sr. Governance Analyst, Seagate Technology</span></i></b><br>
<br>
<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><b><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial;font-weight:bold'>Abstract:</span></font></b><font
size=2 face=Arial><span lang=EN style='font-size:10.0pt;font-family:Arial'> We
frequently apply Risk Management concepts in our daily lives, whether
it&#8217;s driving in the rain on the freeway, or crossing a busy intersection.
It comes down to making a choice, taking a calculated risk to reach our
objective. We decide quickly, making assumptions about the threats and about
our environment. The lessons we learn from our failures help us make wiser
decisions next time, if we survive. <o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'>Using a new Framework of
Risk Management &amp; Analysis (FoRMA) for Secure Software Development, we will
be able to make better decisions by understanding our threats. FoRMA will help
us ensure that we have the appropriate level of protection to maximize our business
objectives, increasing quality and minimizing cost. <o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'><br>
<b><span style='font-weight:bold'>Bio:</span></b> Kris Kahn, CISSP-ISSAP,ISSMP,
CISA, OPSA, currently a Sr. Governance Analyst at Seagate Technology.
Passionate about security for more than 15 years, also worked for companies in
the San Francisco Bay Area that include Autodesk, and Best Internet
Communications. A CISSP since 2001, his key contributions include firewall
architectures, risk management models, security assessment methodologies, and
security awareness training. Kris has expertise in offensive, defensive and
governance facets of security. <o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'><br>
<br>
<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><b><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial;font-weight:bold'>JavaScript
Attacks and Threats to Intranet Applications</span></font></b><font size=2
face=Arial><span lang=EN style='font-size:10.0pt;font-family:Arial'><br>
<b><i><span style='font-weight:bold;font-style:italic'>Presented by: Jeremiah
Grossman, Founder and CTO, WhiteHat Security</span></i></b><br>
<br>
<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><b><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial;font-weight:bold'>Abstract:</span></font></b><font
size=2 face=Arial><span lang=EN style='font-size:10.0pt;font-family:Arial'>
Malicious JavaScript is capable of stealing cookies, capturing keystrokes,
monitoring activity and planting root kits. Attackers are using JavaScript to
hijack browser sessions to commit bank fraud, hack other websites, or post
derogatory comments in a public forum &#8211; all without traces, tracks or
warning sirens. <o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'>Web application security
research is revealing that outsiders can also use these hijacked browsers to
exploit intranet websites.&nbsp; Most assume while surfing the Web we are protected
by firewalls that are isolated through private networks. We believe nothing is
capable of directly connecting in from the outside world. Right? Well, not
quite. Web browsers can be completely controlled by any web page, enabling them
to become launching points to attack internal network resources. <o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'>The web browser of every
user on an enterprise network becomes a stepping stone for intruders. <o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'>During this presentation
we'll demonstrate a wide variety of cutting-edge web application attack
techniques and describe best practices for securing websites and users against
these threats. <o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'>You&#8217;ll see:<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'>&nbsp;&nbsp;&nbsp; * Port scanning and
attacking intranet devices using JavaScript<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'>&nbsp;&nbsp;&nbsp; * Blind web server
fingerprinting using unique URLs<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'>&nbsp;&nbsp;&nbsp; * Discovery NAT'ed IP
addresses with Java Applets<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'>&nbsp; &nbsp;&nbsp;* Stealing web browser
history with Cascading Style Sheets<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'>&nbsp;&nbsp;&nbsp; * Best-practice defense
measures for securing websites<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'>&nbsp;&nbsp;&nbsp; * Essential habits for
safe web surfing<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'><br>
<b><span style='font-weight:bold'>Bio:</span></b> Jeremiah Grossman is the
founder and Chief Technology Officer of WhiteHat Security and responsible for
web application security R&amp;D and industry evangelism. Mr. Grossman is a
frequent speaker at the Black Hat Briefings, ISSA, ISACA, NASA, and other
industry events. Jeremiah been published in USA Today, VAR Business, NBC, ABC
News (AU), ZDNet, eWeek, Computerworld and BetaNews. Prior to WhiteHat, Mr.
Grossman served as an information security officer at Yahoo!. <o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=EN style='font-size:10.0pt;font-family:Arial'><br>
This event is co-sponsored by <a href="http://www.appsecconsulting.com/">AppSec
Consulting, Inc.</a> and <a href="http://www.whitehatsec.com/">WhiteHat Security,
Inc</a>. <o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>

</div>

</body>

</html>