Hier finden Sie die Präsentationen und weiterführende Informationen zu Vorträgen, die ich auf Konferenzen gehalten habe.
Vom 14. bis 17. Oktober fand in Mainz die WebTech Conference 2012 statt, auf der ich einen Vortrag gehalten habe: "HTML5, the secure way"
Beschreibung:
HTML5 brings developers many new opportunities for powerful clients.
But their wide range of functions and the data stored on the client also
attract attackers. In this session, you will learn which attacks are
possible and how you can prevent them (or not, in some cases).
Außerdem habe ich im Rahmen der "Night Sessions" einen Kurzvortrag über die laufenden Cyberangriffe der USA und Israels auf den Iran gehalten, einen weiteren Blitztalk gab es dann im Rahmen der "PHPopstars".
Directly to the english version of IPC 20102 SE
Vom 3. bis 6. Juni fand in Berlin die International PHP Conference 2012, Spring Edition statt, auf der ich zwei Shorttalks gehalten habe: "Client-Security with HTML5" und "How to avoid the "low hanging fruit"-vulnerabilities". Beide Shorttalks waren in englischer Sprache.
Beschreibung:
HTML5 brings new opportunities - for developers and attackers. In this
shorttalk you will see a few examples of how an attacker could abuse HTML5
and how you as a developer could prevent this (or not, in some cases).
Beschreibung:
Some vulnerabilities are "low hanging fruits" - some small changes in
the code would prevent them. In this shorttalk you will see a few examples
of this vulnerabilities, their reasons and how to avoid them. If anything
in this talk is new for you, you may have a problem: One or more
vulnerabilities in your code.
Vom 9. bis 12. Oktober fand in Mainz die WebTech Conference 2011 statt. Ein Track war der "Web Security Day", auf dem ich zwei Sessions gehalten habe: "Client Security im Web 2.0 und mit HTML5" und "Sicherheit von Anfang an".
Beschreibung:
Schwachstellen gibt es nicht nur auf dem Server, sondern auch auf dem
Client. Je mehr Aufgaben auf den Client ausgelagert werden, desto mehr
mögliche Schwachstellen entstehen dort. Und je mehr Daten auf dem Client
gespeichert werden, desto interessanter wird er für Angreifer. Alle reden
von HTML5 und Co., aber denkt denn niemand an die Sicherheit?
Beschreibung:
Die Sicherheit einer Anwendung muss vom Entwurf an berücksichtigt
werden. Falsche Entscheidungen in der Entwurfsphase lassen sich später oft
nur mühsam korrigieren. Erfahren Sie, welche typischen Fehler es gibt und
wie Sie sie vermeiden können, und wie Sie einen individuellen "Security
Development Lifecycle" für Ihre Webanwendungen entwickeln.
Vom 11. bis 13. Oktober 2010 fand in Mainz die WebTech Conference 2010 statt. Ich habe einen Vortag über Tools zur Schwachstellensuche halten: "Pentesters Toolbox".
Beschreibung:
Für die Suche nach Schwachstellen gibt es viele verschiedene Tools. In
dieser Session wird eine nützliche Auswahl an Open-Source-Tools vorgestellt
und ihre Anwendung an Beispielen vorgeführt.
Vom 25. bis 27. Mai fand in Berlin die International PHP Conference 2009, Spring Edition, statt. Ich habe einen Vortag über eher unübliche Angriffe auf Webanwendungen gehalten: '"XSS-Schwachstelle kompromittiert Server" - Ungewöhnliche Exploits näher betrachtet'.
Beschreibung:
Manchmal haben Schwachstellen Auswirkungen, mit denen zumindest auf den
ersten Blick kaum jemand gerechnet hätte. Gerade das macht sie so
gefährlich, wenn ein Black Hat sie als erster findet. In dieser
Session werden einige ungewöhnliche Exploits vorgestellt, ihre
Funktionsweise analysiert und mögliche Gegenmaßnahmen
beschrieben. Wären Ihre Anwendungen vor solchen Angriffen
sicher?
Vom 28. bis 31. Oktober fand in Mainz die AJAX IN ACTION statt. Dieses Jahr gab es erstmals einen AJAX Security Day, auf dem ich zwei Vorträge gehalten habe: "Sicherheit und der AJAX-Client" und "Mashups, aber sicher".
Beschreibung:
Mit der Auslagerung von Teilen der Anwendungslogik in den Client
wachsen die Gefahren für die Anwendung. Und die gehen weit über die
bekannten XSS-Angriffe hinaus. So erleichtert die mächtigere Client-Logik
unter Umständen SQL-Injection-Angriffe, und auch CSS erlauben manche
unerwünschte Manipulationen. Wo droht Gefahr und wie kann man ihr begegnen?
Diese Session liefert die Antworten.
Beschreibung:
Werden in einem Mashup Inhalte aus verschiedenen Quellen ohne
Sicherheitsmaßnahmen munter gemischt, kann jeder Bestandteil auf jeden
anderen zugreifen. Angriffen wie Manipulationen fremder Inhalte oder das
Ausspähen von Zugangsdaten wird so Tor und Tür geöffnet. Wo Gefahrenpunkte
bestehen und wie man sichere Mashups entwickelt, erfahren Sie in dieser
Session.
Vom 26. - 28. Mai 2008 fand in Karlsruhe die Webinale statt, auf der ich einen Vortrag über die Verkettung digitaler Identitäten gehalten habe: "Was weiß das Web über mich?".
Beschreibung:
Wir hinterlassen überall Spuren im Web, mal mehr, mal weniger
anonymisiert oder pseudonymisiert. Wer diese verknüpft, weiß oft
mehr über einen Benutzer, als der ahnt und als ihm recht ist. In
dieser Session geht es um die Verknüpfung dieser Spuren (Stichwort
"Verkettung digitaler Identitäten") und mögliche
Schutzmaßnahmen.
Am 27. und 28. Februar 2008 fanden in Frankfurt/Mörfelden die Web Security Days statt, auf denen ich zwei Vorträge gehalten habe: "Schwachstellen-Scans im Web 2.0" und "Angriffs-Frameworks: Kenne Deinen Feind!".
Beschreibung:
Eine Möglichkeit für den Entwickler, Schwachstellen in
Web-2.0-Anwendungen zu finden, sind spezielle Scanner. Aber Scanner sind
kein Allheilmittel: Wo können sie helfen, und wo liegen ihre Grenzen? In
dieser Session geht es um die Suche nach Schwachstellen allgemein und die
Funktionsweise und Anwendung von Scannern im Besonderen.
Beschreibung:
Wenn man den Feind schlagen will, muss man seine Waffen kennen. Der
erste Schritt für den Websecurity-Verantwortlichen ist daher das
Studium des gegnerischen Arsenals. Die Session klärt, woher Angreifer
ihre Exploits bekommen, sofern sie sie nicht selbst entwickeln und stellt
die Frameworks und Tools der Hacker vor.
Vom 5. bis 7. November 2007 fand in Frankfurt/Mörfelden die AJAX IN ACTION statt, auf der ich einen Vortrag über Ajax-Sicherheit gehalten habe: "AJAX, aber sicher!"
Beschreibung:
AJAX, aber sicher! Das Web 2.0 nutzt zwar weitgehend altbekannte
Technologien, doch durch die mächtige Client-Logik ergeben sich neue
Bedrohungen. Bekannte Schwachstellen wie XSS und CSRF lassen sich in
Verbindung mit AJAX zu neuen Angriffen kombinieren. Neue Schnittstellen wie
der XMLHttpRequest und neue Austauschformate wie JSON bringen neue
Schwachstellen mit sich. Diese Session zeigt neue Gefahren auf und hilft,
ihnen zu begegnen.