Hier finden Sie die Präsentationen und weiterführende Informationen zu Vorträgen, die ich auf Konferenzen gehalten habe.
International PHP Conference 2009, Spring Edition
Vom 25. bis 27. Mai fand in Berlin die International PHP Conference 2009, Spring Edition, statt. Ich habe einen Vortag über eher unübliche Angriffe auf Webanwendungen gehalten: '"XSS-Schwachstelle kompromittiert Server" - Ungewöhnliche Exploits näher betrachtet'.
Beschreibung:
Manchmal haben Schwachstellen Auswirkungen, mit denen zumindest auf den
ersten Blick kaum jemand gerechnet hätte. Gerade das macht sie so
gefährlich, wenn ein Black Hat sie als erster findet. In dieser
Session werden einige ungewöhnliche Exploits vorgestellt, ihre
Funktionsweise analysiert und mögliche Gegenmaßnahmen
beschrieben. Wären Ihre Anwendungen vor solchen Angriffen
sicher?
Ajax in Action 2008
Vom 28. bis 31. Oktober fand in Mainz die AJAX IN ACTION statt. Dieses Jahr gab es erstmals einen AJAX Security Day, auf dem ich zwei Vorträge gehalten habe: "Sicherheit und der AJAX-Client" und "Mashups, aber sicher".
Sicherheit und der AJAX-Client
Beschreibung:
Mit der Auslagerung von Teilen der Anwendungslogik in den Client
wachsen die Gefahren für die Anwendung. Und die gehen weit über die
bekannten XSS-Angriffe hinaus. So erleichtert die mächtigere Client-Logik
unter Umständen SQL-Injection-Angriffe, und auch CSS erlauben manche
unerwünschte Manipulationen. Wo droht Gefahr und wie kann man ihr begegnen?
Diese Session liefert die Antworten.
Mashups, aber sicher
Beschreibung:
Werden in einem Mashup Inhalte aus verschiedenen Quellen ohne
Sicherheitsmaßnahmen munter gemischt, kann jeder Bestandteil auf jeden
anderen zugreifen. Angriffen wie Manipulationen fremder Inhalte oder das
Ausspähen von Zugangsdaten wird so Tor und Tür geöffnet. Wo Gefahrenpunkte
bestehen und wie man sichere Mashups entwickelt, erfahren Sie in dieser
Session.
Webinale 2008: Was weiß das Web über mich?
Vom 26. - 28. Mai 2008 fand in Karlsruhe die Webinale statt, auf der ich einen Vortrag über die Verkettung digitaler Identitäten gehalten habe: "Was weiß das Web über mich?".
Beschreibung:
Wir hinterlassen überall Spuren im Web, mal mehr, mal weniger
anonymisiert oder pseudonymisiert. Wer diese verknüpft, weiß oft
mehr über einen Benutzer, als der ahnt und als ihm recht ist. In
dieser Session geht es um die Verknüpfung dieser Spuren (Stichwort
"Verkettung digitaler Identitäten") und mögliche
Schutzmaßnahmen.
Web Security Days 2008
Am 27. und 28. Februar 2008 fanden in Frankfurt/Mörfelden die Web Security Days statt, auf denen ich zwei Vorträge gehalten habe: "Schwachstellen-Scans im Web 2.0" und "Angriffs-Frameworks: Kenne Deinen Feind!".
Schwachstellen-Scans im Web 2.0
Beschreibung:
Eine Möglichkeit für den Entwickler, Schwachstellen in
Web-2.0-Anwendungen zu finden, sind spezielle Scanner. Aber Scanner sind
kein Allheilmittel: Wo können sie helfen, und wo liegen ihre Grenzen? In
dieser Session geht es um die Suche nach Schwachstellen allgemein und die
Funktionsweise und Anwendung von Scannern im Besonderen.
Angriffs-Frameworks: Kenne Deinen Feind!
Beschreibung:
Wenn man den Feind schlagen will, muss man seine Waffen kennen. Der
erste Schritt für den Websecurity-Verantwortlichen ist daher das
Studium des gegnerischen Arsenals. Die Session klärt, woher Angreifer
ihre Exploits bekommen, sofern sie sie nicht selbst entwickeln und stellt
die Frameworks und Tools der Hacker vor.
Ajax in Action 2007: AJAX, aber sicher!
Vom 5. bis 7. November 2007 fand in Frankfurt/Mörfelden die AJAX IN ACTION statt, auf der ich einen Vortrag über Ajax-Sicherheit gehalten habe: "AJAX, aber sicher!"
Beschreibung:
AJAX, aber sicher! Das Web 2.0 nutzt zwar weitgehend altbekannte
Technologien, doch durch die mächtige Client-Logik ergeben sich neue
Bedrohungen. Bekannte Schwachstellen wie XSS und CSRF lassen sich in
Verbindung mit AJAX zu neuen Angriffen kombinieren. Neue Schnittstellen wie
der XMLHttpRequest und neue Austauschformate wie JSON bringen neue
Schwachstellen mit sich. Diese Session zeigt neue Gefahren auf und hilft,
ihnen zu begegnen.