OWASP Germany > Stammtische > Köln

Willkommen beim OWASP Stammtisch zo Kölle am Rhing

Am Fuße des Kölner Doms finden sich regelmäßig Interessierte aus dem Bereich IT- und Informations-Sicherheit zusammen. Zwischen geplanten Vorträgen und offenen Diskussionen wird alterniert und damit der Spaß nicht zu kurz kommt, organisieren wir den Besuch lokaler kölscher Kulturstätten.

Jeder ist herzlich willkommen und kann gerne noch Freunde, Kollegen, Interessierte mitbringen.

ANKÜNDIGUNGEN

43./ Kölner OWASP Stammtisch am 21.11.2024

  • KI und API Sicherheit - Axel Grosse

Vortrag mit Live demo über die Gefahren, Möglichkeiten und Herausforderungen von Generativer KI im Umfeld von APIs. Mit ChatGPT hacken und mit Co-Pilot sichern

GetTogether Link

LinkedIn Event

Vergangene Stammtische

42./ Sonderveranstaltunge des OWASP Köln Stammtisch – Jeff Williams in Köln am 09.10.2024

Wir freuen uns, eine ganz besondere Ausgabe des OWASP Köln Stammtisch ankündigen zu können! Jeff Williams, Gründer von OWASP, ist zu Besuch in Deutschland und wird am 9. Oktober 2024 in Köln einen Vortrag halten. Der Stammtisch beginnt um 18:30 Uhr und findet dieses Mal nicht wie gewohnt im Mediapark statt, sondern in den Räumlichkeiten der Gothaer Allgemeine Versicherung AG, Gothaer Allee 1, 50969 Köln.

Jeff wird über die Geschichte von OWASP und den aktuellen Stand der Anwendungssicherheit sprechen. Nach dem Vortrag gibt es Zeit für Fragen, Diskussionen und gemeinsames Networking – begleitet von Bier und Pizza.

Verpasst nicht die Gelegenheit, diesen spannenden Abend mit uns zu verbringen!

Jeff is the founder and CTO at Contrast Security, the leader in runtime application security for application security testing (AST) and application detection and response (ADR). Jeff is a veteran application security expert who also founded and led OWASP and Aspect Security. Jeff created several highly successful open-source projects, including jbom, jot, OWASP Top Ten, WebGoat, ESAPI, ASVS, and more. Jeff has a BA from Virginia, an MA from George Mason, and a JD from Georgetown. He’s also a two-time master’s basketball national champion who would love to connect on LinkedIn: LinkedIn

OWASP and the Evolution of AppSec

This is the most exciting time in the history of appsec. Not only are apps/APIs more complex, connected, and critical than ever before, we haven’t made much progress against vulnerabilities, the attackers have ramped up their activity dramatically, and the governments of the world are scrambling to figure out what to do. It’s a mess. In this talk, Jeff will share some stories and insights from over 25 years in appsec. We’ll look at some of the bigger movements in appsec like “build security in”, “devsecops”, “shift left”, “SBOMs”, and “secure by design” and talk about why they have largely failed to change the trajectory of appsec. We’ll also spend some time on the different technologies organizations use to automate appsec in development and operations. Jeff will share his thoughts about the market failures that make improvements in appsec so difficult and what we can do to fix them. This will be a highly interactive session, so bring your questions and ideas.

41./ Kölner OWASP Stammtisch am 26.09.2024

  • Dissecting the Client Hello with Pyshark - Katherine Leese

This talk covers using Pyshark for network capture files, focusing on accessing nested elements in network packets, particularly within Client Hello packets, including encryption suites and TLS versions. It provides a guide on effectively using Pyshark, addressing the gaps in current documentation and offering practical insights. The session will cover the basics of loading pcap files, inspecting packet types and layers, and using commands to list packet layers and extract details. It includes a practical example of extracting offered encryption suites from Client Hello packets to ensure secure encryption methods. By applying Wireshark display filters in Pyshark, packets can be identified efficiently. Key issues and solutions when using JSON and Python objects will be highlighted, helping avoid errors and process data smoothly.

40. Kölner OWASP Stammtisch am 18.07.2024
  • “Die macht zu veränderung: Security-Kompetenz im Team Etablieren” - Lars (bob5sec)

Nach dem Security-Training ist man oft voller Elan, mit seinem Team sichere Software zu entwickeln. Doch eine Schulung allein führt selten zu einem Team, das selbstständig Security-Aktivitäten übernimmt. Der Vortrag zeigt, wie mithilfe der Samman-Technical-Coaching-Methode und den Capabilities der Security Belts diese Herausforderungen gemeistert werden können. Es werden Methoden vorgestellt, um Security-Aktivitäten im Team zu etablieren; und persönliche Weiterentwicklungsmöglichkeiten zum Agile Technical Security Coach aufgezeigt.

Nach der Präsentation ziehen wir uns in ein nahegelegenes Brauhaus zurück, um dort zu diskutieren und uns mit Erfrischungen zu stärken

39. Kölner OWASP Stammtisch am 23.05.2024
  • “Mind the Semantic Gap – Nutzung von Proxy, Cache & WAF für Angriffe auf Webanwendungen & Webservices” - Hoai Viet Nguyen

Aktuelle Webanwendung und Webservices stehen nicht allein im Internet. Ihre Dienste liefern sie gemeinsam mit intermediären Systemen wie Proxy, Caches und Web Application Firewalls (WAFs) aus. HTTP-Requests durchlaufen dabei eine Vielzahl von Engines. Trotz RFC-Standards können HTTP-Nachrichten unterschiedlich von den jeweiligen intermediären Systemen interpretiert werden. Dabei verhält es sich wie bei Menschen, 6 Ohrenpaare verstehen die gleiche Aussage völlig unterschiedlich. RFC-Standards werden bei Apache, Nginx und Co. unterschiedlich ausgelegt, was neu entdeckte Angriffe auf Webanwendungen und Webservices ermöglicht. Diese bekommen durch die Nutzung von Cloud-Services eine besondere Relevanz, die bei der Software-Entwicklung und dem Software-Deployment zu beachten ist.

Der Vortrag beschreibt Funktionsweise von Semantic Gap-Angriffen wie Request Smuggling, Response Splitting und Cache-Poisoned Denial of Service (CPDoS). Dabei wird die Relevanz beleuchtet und gezeigt, warum weitere Angriffe dieser Klasse in Zukunft auftauchen werden. Zudem werden Gegenmaßnahmen diskutiert.

  • Nach der Präsentation ziehen wir uns in ein nahegelegenes Brauhaus zurück, um dort zu diskutieren und uns mit Erfrischungen zu stärken.
38. Kölner OWASP Stammtisch am 14.03.2024
  • “LangSec for AppSec folks” - Lars (bob5sec)

The fundamental security principles described by LangSec explain the root cause of many security vulnerabilities and how to fix it. LangSec regards the Internet insecurity epidemic as a consequence of ad hoc programming of input handling. LangSec posits that the only path to trustworthy software that takes untrusted inputs is treating all valid or expected inputs and outputs as a formal language, and the respective input-handling routines as a parser respectively unparser for that language.

  • Nach dem Vortrag gehen wir in ein lokales Brauhaus für Diskussionen und Erfrischungen
37. Kölner OWASP Stammtisch am 26.10.2023
  • How to shield an IoT product from the OWASP IoT top 10 by Pablo Endres
  • Anschließend gehen wir in ein lokales Brauhaus für unsere Diskussionsrunde.

Slides: How to shield an IoT product form the OWASP IoT Top 10

36. Kölner OWASP Stammtisch am 24.08.2023

Endlich ist es wieder soweit! Der OWASP Köln Stammtisch ist zurück.

  • “Wie bekomme API so sicher wie möglich?” - Axel Grosse
  • Wie binde ich Sicherheit in den API Lebenszyklus ein und welche tools helfen mir dabei. Ein Blick aus Sicht der API Entwickler und der Security Teams

Slides: Wie bekomme API so sicher wie möglich.pdf

35. Kölner OWASP Stammtisch am 12.05.2022

Nach langer Pause, wird wieder ein OWASP Stammtisch in Köln stattfinden.

34. Kölner OWASP Stammtisch am 06.11.2018
  • 17.4 im Startplatz (Mediapark 5) ab 19Uhr wird uns Lars (@bob5ec) etwas zum Thema „DevSecOps Technik und Kultur“ erzählen. Er zeigt auf wie Security Werkzeuge, Methoden und Kultur in DevOps integriert werden.
33. Kölner OWASP Stammtisch am 06.11.2018
  • Wir treffen uns am Dienstag, den 06.11.2018 im Brauhaus Töller ab 18Uhr.
  • Gast ist diesmal Jim Manico.
32. Kölner OWASP Stammtisch am 27.9.2018
  • Wir treffen uns am Donnerstag, den 27.9.2018 ab 18Uhr im Dombrauhaus in Leverkusen.
  • Thema wird unter anderem Burp 2.0 sein.
  • Treffpunkt ist der letzte Raum auf der rechten Seite.
31. Kölner OWASP Stammtisch am 5.12.2017
  • Wir treffen uns am Donnerstag, den 5.12.2017 ab 19Uhr im Dombrauhaus in Leverkusen.
30. Kölner OWASP Stammtisch am 14.9.2017
29. Kölner OWASP Stammtisch am 27.4.2017
28. Kölner OWASP Stammtisch am 5.1.2017
27. Kölner OWASP Stammtisch am 22.08.2016
  • Wir treffen uns am Montag, den 22.08 ab 18Uhr in den Rheinterassen in Köln
26. Kölner OWASP Stammtisch am 10.12.2015
  • Wir treffen uns am Donnerstag, den 10.12 ab 19Uhr im Dombrauhaus in Leverkusen.

UPDATE: ___ Wer Hands-on mitmachen möchte, braucht einen Notebook-PC mit installierter Burp Suite, Python 3 und der folgenden Übungs-Webapplikation:

https://github.com/thomaspatzke/NastyWebHackme (Installationsanleitung s. README)

Thomas Patzke wird uns diesmal etwas über Session Management in der Burp Suite erzählen:

Burp Session Handling Rules Die Burp Suite bietet Werkzeuge, zahlreiche Schwachstellen wie Cross-Site Scripting, SQL Injection oder auch Privilege Escalation automatisiert zu erkennen. CSRF-Token und aus mehreren Requests bestehende Workflows erschweren es jedoch, einzelne HTTP-Requests isoliert für sich zu fuzzen. Auch unerwartet beendete Login-Sessions können unbeaufsichtigte automatisierte Prüfungsläufe ruinieren. In diesem Vortrag wird gezeigt, wie solche Probleme in der Burp Suite mit Hilfe von Makros und Session Handling Rules gelöst und Automatismen auch in “schwierigen” Webanwendungen eingesetzt werden können.

25. Kölner OWASP Stammtisch am 30.09.2015
24. Kölner OWASP Stammtisch am 09.06.2015
  • Wir treffen uns am Dienstag, den 09.06.2015 im Dombrauhaus in Leverkusen Schlebusch ab 18Uhr.
  • Geplante Vorträge sind: “Towards more Security in Data Exchange: Defining Unparsers with Context-Aware Encoders for Context-Free Grammars“ von Lars Hermerschmidt (http://spw15.langsec.org/abstracts.html)
  • Einführung in Groovy und Grails von Ralf Allar
  • außerdem wollen wir die AppSecEU in Amsterdam ein wenig nachbesprechen.
23. Kölner OWASP Stammtisch am 19.02.2015
22. Kölner OWASP Stammtisch am 30.10.2014
  • Wir treffen uns am Donnerstag, den 30.10.2014 im Brauhaus Töller ab 18Uhr.
  • Thomas Skora hält einen Vortrag über “Spaß mit Unicode”
    • Unerwartete Ergebnisse beim Casting (XSS)
    • Expansion: Wie aus einem Zeichen 18 Bytes werden (Buffer Overflows)
    • Überlange Codierung und wie man mit Burp versuchen kann, so XSS- und andere Filter zu umgehen.
    • Link- und Payload-Verkürzung mit Ligaturen&Co
    • Verschleierung böser Absichten durch Änderung der Schreibrichtung
21. Kölner OWASP Stammtisch am 04.07.2014
  • Wir treffen uns am Freitag, den 04.07.2014 in den Rheintrassen bei Sonne und 30 Grad! Security goes Biergarten!
20. Kölner OWASP Stammtisch am 10.04.2014
  • Wir treffen uns am Donnerstag, den 10.04.2014 im Brauhaus Töller ab 18Uhr.
  • Wir wollen über mögliche Vorträge bei den nächsten Treffen diskutieren. Sicherlich Thema wird auch Heartbleed sein.
19. Kölner OWASP Stammtisch am 11.12.2013
18. Kölner OWASP Stammtisch am 30.08.2013
  • Wir treffen uns am Freitag, den 30.08.2013 in der Schreckenskammer ab 17Uhr.
  • Christian Schneider hielt einen Vortrag über die Umgehung der Same Origin Policy mit Hilfe von WebSockets.
17. Kölner OWASP Stammtisch am 15.07.2013
  • Wir treffen uns am Montag, den 15.07.2013 in den Rheinterassen ab 19Uhr. Themen sind Tempora, Prism und Co.
16. Kölner OWASP Stammtisch am 15.05.2013
  • Wir treffen uns am Mittwoch, den 15.05.2013 im Brauhaus Töller ab 19Uhr.
  • Jim Manico ist diesmal unser Gast mit einem spannenden Vortrag über “Top Ten Web Defences”.
15. Kölner OWASP Stammtisch am 27.02.2013
  • Wir treffen uns am Mittwoch, den 27.02.2013 im Brauhaus Töller ab 19Uhr. Die geplanten Themen drehen sich diesmal rund um den 29c3.
14. Kölner OWASP Stammtisch am 20.12.2012
  • Der vierzehnte Kölner Stammtisch findet am 20.12.2012 ab 19:00Uhr im Brauhaus Töller statt. Wir werden uns ab 18Uhr auf dem Weihnachtsmarkt am Rudolfplatz auf einen Glühwein treffen und ab 19Uhr dann im Töller. Nähere Infos folgen noch.
13. Kölner OWASP Stammtisch am 23.08.2012
  • Der dreizehnte Kölner Stammtisch fand am 23.08.2012 ab 19:00Uhr in den Kölner Rheinterassen statt. Bei herrlichem Sommerwetter wurde über Exploits, XSS und diverse andere Dinge diskutiert. Sebastian erzählte Spannendes von der Usenix Security und der Usenix W00t.
12. Kölner OWASP Stammtisch am 18.07.2012
  • Der zwölfte Kölner Stammtisch findet am 18.07.2012 ab 19:00Uhr im Bierhaus en d’r Salzgass statt.
    • Bitte gebt mir noch eine Rückmeldung, falls ihr kommt, damit ich einen Überblick über die Zahl der Anwesenden erhalte. Danke! Ralf
11. Kölner OWASP Stammtisch am 26.04.2012
  • Wir treffen uns zum elften Kölner Stammtisch am 26.04.2012 um 19:00Uhr.
    • Und zwar im Brauhaus Töller in der Weyerstraße.
    • Bitte gebt mir noch eine Rückmeldung, falls ihr kommt, damit ich einen Überblick über die Zahl der Anwesenden erhalte. Danke!
10. Kölner OWASP Stammtisch am 23.02.2012

  • Wir treffen uns zum zehnten Kölner Stammtisch am 23.02.2012 um 19:00Uhr.

    • Und zwar im Brauhaus Töller in der Weyerstraße.

    • Bitte gebt mir noch eine Rückmeldung, falls ihr kommt, damit ich einen Überblick über die Zahl der Anwesenden erhalte. Danke!

Watch Star