I will be moderator to the “
WebSec Day” on the WebTech 2009 conference in Karlsruhe, Germany. The full-day workshop will consist of several, loosely thematically linked sessions regarding web security. See full entry for abstracts and speakers.
If you want to have a beer, I will only be in Karlsruhe on monday evening and tuesday during the day. You can follow me at twitter (
@christopherkunz). I’m looking forward to seeing some of the PHP folks again during the few hours that I will spend in Karlsruhe.
Sessions on WebSec Day
All sessions are in German, unfortunately all abstracts are, too.
Web 2.0 Security Revisited
Johann-Peter Hartmann Mayflower GmbH, SektionEins GmbH
AJAX- und RIA-Applikationen werden zum Standard, Clouds zur normalen
Plattform für Webapplikationen und Services lösen den Code in
Bibliotheken ab. Parallel dazu sind XSS und CSRF jedem Entwickler
geläufig, und auch die Browser reagieren auf die veränderten
Bedingungen. Der Vortrag bietet eine Bestandsaufnahme der aktuellen
Sicherheitssituation von Rich Internet Applications und beleuchtet neue
Themen wie Clickjacking, SSL-Attacken, browserbasierte Sicherheit,
JavaScript in mobilen Devices und Sicherheit in Cloud-basierten
Applikationen.
Websicherheit mit Rational AppScan - Den Hackern immer einen
Schritt voraus!
Martin Knoll IBM Deutschland GmbH
Webanwendungen sind derzeit das Hauptziel von Hackerangriffen. Vor
allem deshalb, da dieser Bereich bei Investitionen in die Sicherheit
bisher am wenigsten beachtet wurde. Die Motivation für Hacker liegt
besonders im hohen Wert der erbeuteten Daten, wie etwa
Kundeninformationen oder Kreditkartennummern. Mögliche Folgen von
Angriffen sind neben des zu erwartenden Imageschadens die Kosten für
die Behebung des Fehlers, Strafzahlungen sowie der Verlust von Kunden.
In dieser Session erwartet Sie eine Demonstration gängiger
Hackerangriffe. Darüber hinaus wird ein Scanner gezeigt, der die
Schwachstellen auf einer Webseite automatisiert erkennt und analysiert.
SQL Injection
Peter Prochaska (Peter Prochaska Softwareentwicklung)
SQL Injection ist eine der gefährlichsten Angriffsarten auf
Webanwendungen. Mit dieser Angriffsmethode können fremde Daten gelesen,
verändert aber auch gelöscht werden. Häufig sind Webanwendungen zu
wenig oder gar nicht gegen diese Angriffe geschützt. In dieser Session
werden Sie sehen, welche Angriffspunkte es in Webanwendungen geben kann
und wie man eine SQL-Injection erfolgreich verhindert.
Web Single Sign-on mit OpenSSO
Sebastian Glandien (Acando GmbH)
Web-SSO beschreibt das transparente Anmelden an unterschiedlichen
Websystemen. Einmal authentifiziert, kann der Benutzer auf alle Dienste
zugreifen, für welche er die entsprechenden Berechtigungen besitzt.
Ziel soll es dabei sein eine effektive, flexible und kostengünstige
Architektur zu schaffen, die aber zugleich den hohen Anforderungen zur
Gewährleistung von Websicherheit genügt.
Die Session schlägt dafür SUNs Open-Source-Produkt OpenSSO vor und
nimmt diese Lösung genauer unter die Lupe. Es werden insbesondere die
Fähigkeiten des Access- und Federation-Managements vorgestellt. Anhand
von praktischen Anwendungsbeispielen werden die einzelnen Aspekte zur
Schaffung einer konsolidierten IT-Sicherheitsinfrastruktur vertieft.
Web Application Firewalls
Peter Prochaska (Peter Prochaska Softwareentwicklung)
In dieser Session werden verschiedene Web Application Firewalls
betrachtet und deren unterschiedliche Konzepte verglichen. Es werden
Software Produkte, aber auch Hardware Appliances betrachtet. Viele
dieser Appliances bieten auch noch zusätzliche Features, wie z.B. SSL-
Terminierung, Load Balancing, URL Verschlüsselung uvm. und kann so auch
in Ihrer Firma kosten sparen, da nur noch ein Gerät verwendet werden muß
