OWASP Germany > Stammtische > Köln

Willkommen beim OWASP Stammtisch zo Kölle am Rhing

Am Fuße des Kölner Doms finden sich regelmäßig Interessierte aus dem Bereich IT- und Informations-Sicherheit zusammen. Zwischen geplanten Vorträgen und offenen Diskussionen wird alterniert und damit der Spaß nicht zu kurz kommt, organisieren wir den Besuch lokaler kölscher Kulturstätten.

Jeder ist herzlich willkommen und kann gerne noch Freunde, Kollegen, Interessierte mitbringen.

ANKÜNDIGUNG

40. Köner OWASP Stammtisch am 18.07.2024
  • “Die macht zu veränderung: Security-Kompetenz im Team Etablieren” - Lars (bob5sec)

Nach dem Security-Training ist man oft voller Elan, mit seinem Team sichere Software zu entwickeln. Doch eine Schulung allein führt selten zu einem Team, das selbstständig Security-Aktivitäten übernimmt. Der Vortrag zeigt, wie mithilfe der Samman-Technical-Coaching-Methode und den Capabilities der Security Belts diese Herausforderungen gemeistert werden können. Es werden Methoden vorgestellt, um Security-Aktivitäten im Team zu etablieren und persönliche Weiterentwicklungsmöglichkeiten zum Agile Technical Security Coach aufgezeigt.

Nach der Präsentation ziehen wir uns in ein nahegelegenes Brauhaus zurück, um dort zu diskutieren und uns mit Erfrischungen zu stärken

GetTogether Link

LinkedIn Event

Vergangene Stammtische

39. Kölner OWASP Stammtisch am 23.05.2024
  • “Mind the Semantic Gap – Nutzung von Proxy, Cache & WAF für Angriffe auf Webanwendungen & Webservices” - Hoai Viet Nguyen

Aktuelle Webanwendung und Webservices stehen nicht allein im Internet. Ihre Dienste liefern sie gemeinsam mit intermediären Systemen wie Proxy, Caches und Web Application Firewalls (WAFs) aus. HTTP-Requests durchlaufen dabei eine Vielzahl von Engines. Trotz RFC-Standards können HTTP-Nachrichten unterschiedlich von den jeweiligen intermediären Systemen interpretiert werden. Dabei verhält es sich wie bei Menschen, 6 Ohrenpaare verstehen die gleiche Aussage völlig unterschiedlich. RFC-Standards werden bei Apache, Nginx und Co. unterschiedlich ausgelegt, was neu entdeckte Angriffe auf Webanwendungen und Webservices ermöglicht. Diese bekommen durch die Nutzung von Cloud-Services eine besondere Relevanz, die bei der Software-Entwicklung und dem Software-Deployment zu beachten ist.

Der Vortrag beschreibt Funktionsweise von Semantic Gap-Angriffen wie Request Smuggling, Response Splitting und Cache-Poisoned Denial of Service (CPDoS). Dabei wird die Relevanz beleuchtet und gezeigt, warum weitere Angriffe dieser Klasse in Zukunft auftauchen werden. Zudem werden Gegenmaßnahmen diskutiert.

  • Nach der Präsentation ziehen wir uns in ein nahegelegenes Brauhaus zurück, um dort zu diskutieren und uns mit Erfrischungen zu stärken.

Slides:Mind the Semantic Gap

38. Kölner OWASP Stammtisch am 14.03.2024
  • “LangSec for AppSec folks” - Lars (bob5sec)

The fundamental security principles described by LangSec explain the root cause of many security vulnerabilities and how to fix it. LangSec regards the Internet insecurity epidemic as a consequence of ad hoc programming of input handling. LangSec posits that the only path to trustworthy software that takes untrusted inputs is treating all valid or expected inputs and outputs as a formal language, and the respective input-handling routines as a parser respectively unparser for that language.

  • Nach dem Vortrag gehen wir in ein lokales Brauhaus für Diskussionen und Erfrischungen
37. Kölner OWASP Stammtisch am 26.10.2023
  • How to shield an IoT product from the OWASP IoT top 10 by Pablo Endres
  • Anschließend gehen wir in ein lokales Brauhaus für unsere Diskussionsrunde.

Slides: How to shield an IoT product form the OWASP IoT Top 10

36. Kölner OWASP Stammtisch am 24.08.2023

Endlich ist es wieder soweit! Der OWASP Köln Stammtisch ist zurück.

  • “Wie bekomme API so sicher wie möglich?” - Axel Grosse
  • Wie binde ich Sicherheit in den API Lebenszyklus ein und welche tools helfen mir dabei. Ein Blick aus Sicht der API Entwickler und der Security Teams

Slides: Wie bekomme API so sicher wie möglich.pdf

35. Kölner OWASP Stammtisch am 12.05.2022

Nach langer Pause, wird wieder ein OWASP Stammtisch in Köln stattfinden.

34. Kölner OWASP Stammtisch am 06.11.2018
  • 17.4 im Startplatz (Mediapark 5) ab 19Uhr wird uns Lars (@bob5ec) etwas zum Thema „DevSecOps Technik und Kultur“ erzählen. Er zeigt auf wie Security Werkzeuge, Methoden und Kultur in DevOps integriert werden.
33. Kölner OWASP Stammtisch am 06.11.2018
  • Wir treffen uns am Dienstag, den 06.11.2018 im Brauhaus Töller ab 18Uhr.
  • Gast ist diesmal Jim Manico.
32. Kölner OWASP Stammtisch am 27.9.2018
  • Wir treffen uns am Donnerstag, den 27.9.2018 ab 18Uhr im Dombrauhaus in Leverkusen.
  • Thema wird unter anderem Burp 2.0 sein.
  • Treffpunkt ist der letzte Raum auf der rechten Seite.
31. Kölner OWASP Stammtisch am 5.12.2017
  • Wir treffen uns am Donnerstag, den 5.12.2017 ab 19Uhr im Dombrauhaus in Leverkusen.
30. Kölner OWASP Stammtisch am 14.9.2017
29. Kölner OWASP Stammtisch am 27.4.2017
28. Kölner OWASP Stammtisch am 5.1.2017
27. Kölner OWASP Stammtisch am 22.08.2016
  • Wir treffen uns am Montag, den 22.08 ab 18Uhr in den Rheinterassen in Köln
26. Kölner OWASP Stammtisch am 10.12.2015
  • Wir treffen uns am Donnerstag, den 10.12 ab 19Uhr im Dombrauhaus in Leverkusen.

UPDATE: ___ Wer Hands-on mitmachen möchte, braucht einen Notebook-PC mit installierter Burp Suite, Python 3 und der folgenden Übungs-Webapplikation:

https://github.com/thomaspatzke/NastyWebHackme (Installationsanleitung s. README)

Thomas Patzke wird uns diesmal etwas über Session Management in der Burp Suite erzählen:

Burp Session Handling Rules Die Burp Suite bietet Werkzeuge, zahlreiche Schwachstellen wie Cross-Site Scripting, SQL Injection oder auch Privilege Escalation automatisiert zu erkennen. CSRF-Token und aus mehreren Requests bestehende Workflows erschweren es jedoch, einzelne HTTP-Requests isoliert für sich zu fuzzen. Auch unerwartet beendete Login-Sessions können unbeaufsichtigte automatisierte Prüfungsläufe ruinieren. In diesem Vortrag wird gezeigt, wie solche Probleme in der Burp Suite mit Hilfe von Makros und Session Handling Rules gelöst und Automatismen auch in “schwierigen” Webanwendungen eingesetzt werden können.

25. Kölner OWASP Stammtisch am 30.09.2015
24. Kölner OWASP Stammtisch am 09.06.2015
  • Wir treffen uns am Dienstag, den 09.06.2015 im Dombrauhaus in Leverkusen Schlebusch ab 18Uhr.
  • Geplante Vorträge sind: “Towards more Security in Data Exchange: Defining Unparsers with Context-Aware Encoders for Context-Free Grammars“ von Lars Hermerschmidt (http://spw15.langsec.org/abstracts.html)
  • Einführung in Groovy und Grails von Ralf Allar
  • außerdem wollen wir die AppSecEU in Amsterdam ein wenig nachbesprechen.
23. Kölner OWASP Stammtisch am 19.02.2015
22. Kölner OWASP Stammtisch am 30.10.2014
  • Wir treffen uns am Donnerstag, den 30.10.2014 im Brauhaus Töller ab 18Uhr.
  • Thomas Skora hält einen Vortrag über “Spaß mit Unicode”
    • Unerwartete Ergebnisse beim Casting (XSS)
    • Expansion: Wie aus einem Zeichen 18 Bytes werden (Buffer Overflows)
    • Überlange Codierung und wie man mit Burp versuchen kann, so XSS- und andere Filter zu umgehen.
    • Link- und Payload-Verkürzung mit Ligaturen&Co
    • Verschleierung böser Absichten durch Änderung der Schreibrichtung
21. Kölner OWASP Stammtisch am 04.07.2014
  • Wir treffen uns am Freitag, den 04.07.2014 in den Rheintrassen bei Sonne und 30 Grad! Security goes Biergarten!
20. Kölner OWASP Stammtisch am 10.04.2014
  • Wir treffen uns am Donnerstag, den 10.04.2014 im Brauhaus Töller ab 18Uhr.
  • Wir wollen über mögliche Vorträge bei den nächsten Treffen diskutieren. Sicherlich Thema wird auch Heartbleed sein.
19. Kölner OWASP Stammtisch am 11.12.2013
18. Kölner OWASP Stammtisch am 30.08.2013
  • Wir treffen uns am Freitag, den 30.08.2013 in der Schreckenskammer ab 17Uhr.
  • Christian Schneider hielt einen Vortrag über die Umgehung der Same Origin Policy mit Hilfe von WebSockets.
17. Kölner OWASP Stammtisch am 15.07.2013
  • Wir treffen uns am Montag, den 15.07.2013 in den Rheinterassen ab 19Uhr. Themen sind Tempora, Prism und Co.
16. Kölner OWASP Stammtisch am 15.05.2013
  • Wir treffen uns am Mittwoch, den 15.05.2013 im Brauhaus Töller ab 19Uhr.
  • Jim Manico ist diesmal unser Gast mit einem spannenden Vortrag über “Top Ten Web Defences”.
15. Kölner OWASP Stammtisch am 27.02.2013
  • Wir treffen uns am Mittwoch, den 27.02.2013 im Brauhaus Töller ab 19Uhr. Die geplanten Themen drehen sich diesmal rund um den 29c3.
14. Kölner OWASP Stammtisch am 20.12.2012
  • Der vierzehnte Kölner Stammtisch findet am 20.12.2012 ab 19:00Uhr im Brauhaus Töller statt. Wir werden uns ab 18Uhr auf dem Weihnachtsmarkt am Rudolfplatz auf einen Glühwein treffen und ab 19Uhr dann im Töller. Nähere Infos folgen noch.
13. Kölner OWASP Stammtisch am 23.08.2012
  • Der dreizehnte Kölner Stammtisch fand am 23.08.2012 ab 19:00Uhr in den Kölner Rheinterassen statt. Bei herrlichem Sommerwetter wurde über Exploits, XSS und diverse andere Dinge diskutiert. Sebastian erzählte Spannendes von der Usenix Security und der Usenix W00t.
12. Kölner OWASP Stammtisch am 18.07.2012
  • Der zwölfte Kölner Stammtisch findet am 18.07.2012 ab 19:00Uhr im Bierhaus en d’r Salzgass statt.
    • Bitte gebt mir noch eine Rückmeldung, falls ihr kommt, damit ich einen Überblick über die Zahl der Anwesenden erhalte. Danke! Ralf
11. Kölner OWASP Stammtisch am 26.04.2012
  • Wir treffen uns zum elften Kölner Stammtisch am 26.04.2012 um 19:00Uhr.
    • Und zwar im Brauhaus Töller in der Weyerstraße.
    • Bitte gebt mir noch eine Rückmeldung, falls ihr kommt, damit ich einen Überblick über die Zahl der Anwesenden erhalte. Danke!
10. Kölner OWASP Stammtisch am 23.02.2012
  • Wir treffen uns zum zehnten Kölner Stammtisch am 23.02.2012 um 19:00Uhr.

    • Und zwar im Brauhaus Töller in der Weyerstraße.

    • Bitte gebt mir noch eine Rückmeldung, falls ihr kommt, damit ich einen Überblick über die Zahl der Anwesenden erhalte. Danke!