<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">
<html><body>
<span id="mailbox-conversation"><div>
<div>Hi everyone,<br>
</div>
<div>I’d like to invite you to our next OWASP Switzerland meeting on June 17th 2015. Please be aware that this is our first ever OWASP meeting in *Bern*. If you want to attend, please make sure to register for the event with your *full name* through http://doodle.com/uh6ddr55nn7cywdg</div>
<div>Space is limited to 30 attendees.</div>
<div><br></div>
<div>* When:</div>
<div>Wednesday, June 17th 2015</div>
<div>Starting at 18:00</div>
<div>Doors at 17:30</div>
<div><br></div>
<div>* What (presentation):</div>
<div>"XSLT Processing Security and Server Side Request Forgeries" by Roland Bischofberger and Emanuel Duss</div>
<div><br></div>
<div>Abstract:</div>
<div>An XSLT processor is a piece of software for manipulating XML files or</div>
<div>transforming them into other file formats. These XSLT processors are</div>
<div>very feature rich, which makes them interessting in the context of</div>
<div>information security. For example it is possible to include other files</div>
<div>or even run commands. These processors enable you also to perform so</div>
<div>called Server Side Request Forgeries (SSRF). SSRF is a technique which</div>
<div>triggers a request on the vulnerable host. So it is possible for an</div>
<div>attacker to access remote machines which are not directly available for</div>
<div>the attacker.</div>
<div>In a student project at the Hochschule für Technik Rapperswil (HSR), we</div>
<div>did some testing on vulnerabilities of XSLT processors and the ability</div>
<div>to use them for SSRF. In our talk we will present the test results and</div>
<div>show a live demonstration. You will see which processor is vulerable</div>
<div>against which vulnerabilities and what a developer can do to use them</div>
<div>safely.</div>
<div><br></div>
<div>* Where:</div>
<div>Compass Security Schweiz AG</div>
<div>Ahornweg 2</div>
<div>3012 Bern</div>
<div><br></div>
<div>* Who:</div>
<div>As usual, all of our meetings are open to everyone and free of charge.</div>
<div><br></div>
<div>* Agenda</div>
<div>17:30         | Doors will open</div>
<div>18:00 – 18:15 | Update on OWASP by Sven Vetsch, OWASP Switzerland</div>
<div>18:20 – 19:00 | "XSLT Processing Security and Server Side Request Forgeries" by Roland Bischofberger and Emanuel Duss</div>
<div>19:15 - **:** | Dinner</div>
<div><br></div>
<div>regards,</div>
<div>Sven</div>
</div>
<div id="orc-email-signature" style="display:block;"><div class="mailbox_signature">
<br><p style="margin-top: 0px; margin-bottom: 0px; line-height: normal; font-family: 'Helvetica Neue';">--</p>
<p style="margin-top: 0px; margin-bottom: 0px; line-height: normal; font-family: 'Helvetica Neue';">Sven Vetsch</p>
<p style="margin-top: 0px; margin-bottom: 0px; line-height: normal; font-family: 'Helvetica Neue';">Leader OWASP Switzerland</p>
<p style="margin-top: 0px; margin-bottom: 0px; line-height: normal; font-family: 'Helvetica Neue';">https://www.owasp.ch</p>
<p style="margin-top: 0px; margin-bottom: 0px; line-height: normal; font-family: 'Helvetica Neue';">https://www.twitter.com/OWASP_ch</p>
<div><br></div>
</div></div></span><span class="none"></span>
</body></html>