OWASP German Chapter Wer wir sind. Was wir machen. Wie wir helfen.

Ähnliche Dokumente
OWASP German Chapter. Chapter Meeting

Best Practice: Projektierung der Sicherheitsprüfung von Webanwendungen. OWASP Appsec Germany Nürnberg

OWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den

Best Practices Guide: Web Application Firewalls. OWASP German Chapter. The OWASP Foundation Alexander Meisel CTO art of defence

BSI IT-Grundschutztag, , Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. -

Fantastico Kalabrien zum Sparpreis

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

TLS/SSL-Serverkonfiguration testen mit O-Saft Köln, 23. November 2017

TÜV Rheinland. Security Intelligence: Die Schlagkraft eines GRC nutzen. It-sa 2016, 18. Oktober 2016

Allianz für Cyber-Sicherheit

WALL&KOLLEGEN RECHTSANWÄLTE AVVOCATI BARRISTER-AT-LAW MÜNCHEN INNSBRUCK BOZEN

Agil lernen. 4. Projektmanagement Day Georg Götz

Das Semantic Technology Institute (STI)

Webinar: UC-Sicherheitsbedrohungen für Ihr Unternehmen? Kein Problem!

ITIL Trainernachweise

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!

LANCOM Workshops Azubi Workshops 2019

AGIL, ABER SICHER? SECURE SOFTWARE ENGINEERING , ANDREAS FALK, UNI TÜBINGEN SOFTWARE ENGINEERING

SAP Penetrationstest. So kommen Sie Hackern zuvor!

Beratung & Coaching. Jede Lösung beginnt mit einer Frage

Erfahrungen & Diskussion Networking im Contao Umfeld

Atos Testing Service. Überblick Atos

Risiken für Unternehmen durch zunehmende Vernetzung und Digitalisierung. Dennis Schröder, M. Sc.

Informationssicherheit erhöhen mit dem modernisierten IT-Grundschutz: Ein Überblick

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

Integration eines bereichsübergreifenden Managementsystems. Gunnar Bellingen. Merseburg, LMK 2010,

Patch- und Änderungsmanagement

Übersicht. Eclipse Foundation. Eclipse Plugins & Projects. Eclipse Ganymede Simultaneous Release. Web Tools Platform Projekt. WSDL Editor.

Penetrationstests Planungsaspekte, Stolpersteine und Nutzen in der Praxis JUGS Stuttgart 23. März 2017

Der Application Security Verification Standard (ASVS) OWASP 10/2010. The OWASP Foundation AppSec Germany 2010

Qualitätssicherung und formales Testen einer E-Business Suite-Migration

CeBIT CARMAO GmbH

AUSWAHL UND BEWERTUNG VON ÜBERSETZUNGSDIENSTLEISTUNGEN. tekom Frühjahrstagung Berlin, Jürgen Sapara

Business Process Management schlägt die Brücke zwischen Geschäftsprozessen und Service-orientierter Architektur

Inhaltsübersicht. Teil I Überblick 25. Teil II Service-Strategie 87. Teil III Service Design 183. Teil IV Service Transition 323

Sichere Website. Gezielt ist oft besser als viel Markus Müller secunet Security Networks AG

VE-WASSER. Vollentsalzung / Demineralisierung

IHK: Web-Hacking-Demo

Das Chapter im Süden stellt sich vor

SMART INFRASTRUCTURE HUB

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Compass Security [The ICT-Security Experts]

Kommt Clean Code in Studium und Ausbildung zu kurz?

Herzlich willkommen!

Testerzertifizierung heute und morgen. Dr. Matthias Hamburg German Testing Board e.v.

1. Spieltag. 2. Spieltag. 3. Spieltag. 4. Spieltag. 5. Spieltag

Whitepaper: Agile Methoden im Unternehmenseinsatz

Sichere Webanwendungen brauchen sichere Infrastrukturen! Reicht das in der Realität aus?

Honeypots und Honeywall in der Praxis DFN-CERT Workshop,

Garantietermine für IT-Trainings.

aber wer sitzt am Steuer?

LET S GO AGILE. Wer weiß wie und woher?

1. Spieltag. 2. Spieltag. 3. Spieltag. 4. Spieltag. 5. Spieltag

verinice.xp 2018 Aufbau eines standardisierten IT- Sicherheitskonzepts für Hoster nach BSI IT-Grundschutz Philipp Neumann

1. Spieltag. 2. Spieltag. 3. Spieltag. 4. Spieltag

Kommunikationsmatrix

Agilität iterativ einführen

Informationssicherheit

Strukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO 27001

Die neuen IT-Grundschutz-Bausteine und deren Struktur. Florian Hillebrand IT-Grundschutz und Allianz für Cyber-Sicherheit

msg services ag Managed Services

Schutz vor moderner Malware

Outsourcing. Projekte. Security. Service Management. Personal

dacoso Technik, die funktioniert. In einer Zusammenarbeit, die Spaß macht. dacoso im Überblick data communication solutions

Grafiken zur Pressemitteilung Sesshaftigkeit lohnt sich: So sparen Mieter tausende Euro im Jahr

LEISTUNGSSTARKES, SKALIERBARES SCHWACHSTELLEN- MANAGEMENT. F-Secure Radar

DATENSICHERHEIT BEI AUTODESK BIM 360

Team Foundation Server & Ranorex Workshop

Finanzierung. Faktor Mensch: Akzeptanz neuer IT-Anwendungen beschleunigen

Hacking-Lab Remote Security Labor 15. April 2010

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann

Sicherheit von Webanwendungen. mit IBM Rational AppScan

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP The OWASP Foundation

FairShares Lab NEWSLETTER #3

VERFAHREN ZUR IDENTIFIZIERUNG UND EVALUIERUNG VON UMWELTASPEKTEN UND RISIKEN

Fussball-Bundeliga. Saison 1963 / 64

Projektüberblick in 10 Minuten. Peter Niehues, regio it aachen Berlin, 04. Oktober 2011

Spring & OSGi: Plattform der Zukunft. Bernd Kolb (Kolbware) Martin Lippert (akquinet agile GmbH) Gerd Wütherich (comdirect bank AG)

Best Practises verinice.pro

IT-Campus Garantietermine. Ihre Weiterbildung bei uns garantiert planungssicher! 2. Halbjahr 2016 und 1. Halbjahr

ZENTRALE SAP- DOKUMENTATIONSARTEN KNOWLEDGE DESIGN & ENGINEERING (KDE)

APEX räumt auf. Ein Projektbericht aus der Abfallwirtschaft. Carolin Hagemann Trivadis GmbH Application Development

Angebot Penetrationstest

Die Modernisierung des IT-Grundschutzes

Fussball-Bundeliga Saison 1965 / 66

Ausblick und Diskussion. 8. März IT-Grundschutz-Tag 2018 Holger Schildt Referatsleiter IT-Grundschutz

Business-Lösungen von HCM. HCM QM-Handbuch. Die Komplettlösung für Ihr QM- und Organisationshandbuch

16. egovernment-wettbewerb Leistungsfähige Partner GESTALTEN ihre Zukunft:

Wiki im unternehmerischen Wissenszyklus. Namics. Simon Daiker. Projektleiter / Consultant.

Service Beschreibung IT Service Management

- Leseprobe - Auditcheckliste ISO und EMAS. Auditcheckliste ISO und EMAS. Bemerkungen zur Checkliste

Multimedia-Metadaten und ihre Anwendung

Control Templates. Thomas Claudius Huber

Aktuelle Aktivitäten. 14. Februar 2017, Karlsruhe

Compliance Management

Sicherheit bei IoT. DOAG 2015 Andreas Chatziantoniou - Foxglove-IT BV

CI mit Forms im Weblogic Umfeld: CI mit Forms geht das

Transkript:

The OWASP Foundation http://www.owasp.org OWASP German Chapter Wer wir sind. Was wir machen. Wie wir helfen. Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt ralf.reinhardt@owasp.org ralf.reinhardt@sicsec.de 4.

Was ist OWASP?

Was ist OWASP? Das Open Web Application Security Project will Sicherheit in (Web-)Anwendungen sichtbar machen und Lösungen bereitstellen mit Dokumenten Tools Kongressen

Was ist OWASP? Das Open Web Application Security Project hilft damit Entwicklern Entscheidern QA-Spezialisten Penetrationstestern Ihnen

Was ist OWASP? Werte Offen Innovativ Weltweit vertreten Integer

Was ist OWASP? Prinzipien Frei und Offen Getrieben durch Konsens und funktionierenden Code Ausgerichtet an Werten Non-profit Nicht von kommerziellen Interessen getrieben Risiko basierte Ansätze

Was ist OWASP? Organisationsstruktur Board Chapter Mitglieder

Was ist OWASP? Chapter Lokale Organisationseinheiten Kann jeder überall einrichten (auch in einzelnen Städten/Regionen) Grundlegen im Chapter Handbook

Was ist OWASP? Mitglieder Firmen Einzelpersonen Edukative Einrichtungen

Projekte Projekte haben vier mögliche Stati (Stand November 2011) Aktiv (20) Beta (26) Alpha (über 50) Inaktiv (6)

Projekte Projekte unterteilt in Tools Dokumente Jeweils kategorisiert in Schutz Erkennung Lebenszyklus

Bekannteste Projekte OWASP Top 10 (2004, 2007, 2010) OWASP Development Guide OWASP Code Review Guide OWASP Testing Guide OWASP Zed Attack Proxy (ZAP) OWASP Live CD Project/Broken Web Apps

Das deutsche Chapter Derzeit ein Chapter in Deutschland Aktuell 6 Personen im Board Regelmäßige lokale Stammtische in Düsseldorf Frankfurt Hamburg Karlsruhe Köln München Nürnberg Stuttgart

Das deutsche Projekte Chapter Best Practices: Web Application Firewalls (2008 abgeschlossen) Projektierung der Sicherheitsprüfungen von Webanwendungen (2009 abgeschlossen) Top 10 2010 Übersetzung (2011 abgeschlossen)

Das deutsche Chapter Projekte Review BSI-Grundschutz Baustein Webanwendungen (2012 abgeschlossen) German Language Project (aktiv)

Das deutsche Chapter Konferenz OWASP Day Germany Ehemals AppSec Germany Seit 2008 Größter Event zu Webanwendungssicherheit in Deutschland 06./07. November 2012 Stand auf der it-sa/vortrag hier Ziel: OWASP noch bekannter machen

Die Zukunft Mehr Stammtische Mehr Projekte Höhere Reichweite Weitere Aspekte von Anwendungssicherheit (Mobility) Mehr Mitglieder Firmen Personen Mehr aktive Projektteilnehmer

Best Practice: Projektierung der Sicherheitsprüfung von Webanwendungen

Die Projektgruppe Marco Di Filippo (Compass Security) Tobias Glemser (Tele-Consulting security networking training GmbH) Achim Hoffmann (damals SecureNet, heute sic[!]sec) Barbara Schachner (Siemens CERT) Dennis Schröder (TÜV IT) Feilang Wu (Siemens CERT)

Um was geht's?

Um was geht's? Erfahrungswerte von Dienstleistern und Kunden Wie projektiere ich intern? Wie definiere ich meine Anforderungen? Wie finde ich geeignete Dienstleister?

Projektverlauf Diskussion am OWASP Stand auf der IT-SA Oktober 08 Erste Anfrage an OWASP Mailing- Liste: 26.11.08 Erste Antwort: 27.11.08 Grober Projektablaufplan: Januar 09 Erster Draft: Februar 09 Fertigstellung: Oktober 09

Projektverlauf Problem: Keine Kunden Lösung: 04.03. - 2 Kunden Zweiter Draft: April 09 Dritter Draft: Juni 09 (inkl. ein Ausstieg aus beruflichen Gründen) Kick-Off Workshop im August Finalisierungs-WS Mitte September Version 1.01 auf owasp.org: 9. Oktober

Anforderungen: Kundenseite Art der Prüfung VA/Pentest Quellcode-Analyse Architektur-Analyse Prozess- und Dokumentations- Analyse (z. B. auf Basis IT- Grundschutz oder ISO 27001 native )

Anforderungen: Kundenseite Zielformulierung Definition und Beschreibung des Ziels Teilnehmer Definition der Zeiten Freigaben (!) Vertraulichkeitserklärungen Haftung

Anforderungen: Dienstleister Unternehmensgeschichte Projektteam Beschreibung der Vorgehensweise und Methodik Werkzeuge/Tools Inhalt des Berichts Transparenz!

Anforderungen: Dienstleister Referenzen Veröffentlichungen Mitgliedschaften Zertifizierungen Datentransfer Haftpflicht

Fazit FUD Gemeinsame Sprache und gemeinsames Verständnis der Ziele aller Beteiligter oberstes Gebot Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung

Kontakt und Informationen http://www.owasp.de/ https://www.owasp.org/ https://lists.owasp.org/mailman/listinf o/ owasp-germany (eintragen!) Tobias Glemser Ralf Reinhardt tobias.glemser@owasp.org tglemser@tele-consulting.com ralf.reinhardt@owasp.org ralf.reinhardt@sicsec.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback