Konferenzen

Dipl.-Inform. Carsten Eilers

Hier finden Sie die Präsentationen und weiterführende Informationen zu Vorträgen, die ich auf Konferenzen gehalten habe.

WebTech Conference 2012

WebTech Conference 2012

Vom 14. bis 17. Oktober fand in Mainz die WebTech Conference 2012 statt, auf der ich einen Vortrag gehalten habe: "HTML5, the secure way"

Beschreibung:
HTML5 brings developers many new opportunities for powerful clients. But their wide range of functions and the data stored on the client also attract attackers. In this session, you will learn which attacks are possible and how you can prevent them (or not, in some cases).

Außerdem habe ich im Rahmen der "Night Sessions" einen Kurzvortrag über die laufenden Cyberangriffe der USA und Israels auf den Iran gehalten, einen weiteren Blitztalk gab es dann im Rahmen der "PHPopstars".

zum Material


International PHP Conference 2012, Spring Edition

International PHP Conference 2012, Spring Edition

Directly to the english version of IPC 20102 SE

Vom 3. bis 6. Juni fand in Berlin die International PHP Conference 2012, Spring Edition statt, auf der ich zwei Shorttalks gehalten habe: "Client-Security with HTML5" und "How to avoid the "low hanging fruit"-vulnerabilities". Beide Shorttalks waren in englischer Sprache.

Client-Security with HTML5

Beschreibung:
HTML5 brings new opportunities - for developers and attackers. In this shorttalk you will see a few examples of how an attacker could abuse HTML5 and how you as a developer could prevent this (or not, in some cases).

How to avoid the "low hanging fruit"-vulnerabilities

Beschreibung:
Some vulnerabilities are "low hanging fruits" - some small changes in the code would prevent them. In this shorttalk you will see a few examples of this vulnerabilities, their reasons and how to avoid them. If anything in this talk is new for you, you may have a problem: One or more vulnerabilities in your code.

zum Material


WebTech Conference 2011

WebTech Conference 2011

Vom 9. bis 12. Oktober fand in Mainz die WebTech Conference 2011 statt. Ein Track war der "Web Security Day", auf dem ich zwei Sessions gehalten habe: "Client Security im Web 2.0 und mit HTML5" und "Sicherheit von Anfang an".

Client Security im Web 2.0 und mit HTML5

Beschreibung:
Schwachstellen gibt es nicht nur auf dem Server, sondern auch auf dem Client. Je mehr Aufgaben auf den Client ausgelagert werden, desto mehr mögliche Schwachstellen entstehen dort. Und je mehr Daten auf dem Client gespeichert werden, desto interessanter wird er für Angreifer. Alle reden von HTML5 und Co., aber denkt denn niemand an die Sicherheit?

Sicherheit von Anfang an

Beschreibung:
Die Sicherheit einer Anwendung muss vom Entwurf an berücksichtigt werden. Falsche Entscheidungen in der Entwurfsphase lassen sich später oft nur mühsam korrigieren. Erfahren Sie, welche typischen Fehler es gibt und wie Sie sie vermeiden können, und wie Sie einen individuellen "Security Development Lifecycle" für Ihre Webanwendungen entwickeln.

zum Material


WebTech Conference 2010

WebTech Conference 2010

Vom 11. bis 13. Oktober 2010 fand in Mainz die WebTech Conference 2010 statt. Ich habe einen Vortag über Tools zur Schwachstellensuche halten: "Pentesters Toolbox".

Beschreibung:
Für die Suche nach Schwachstellen gibt es viele verschiedene Tools. In dieser Session wird eine nützliche Auswahl an Open-Source-Tools vorgestellt und ihre Anwendung an Beispielen vorgeführt.

zum Material


IPC2009SE

International PHP Conference 2009, Spring Edition

Vom 25. bis 27. Mai fand in Berlin die International PHP Conference 2009, Spring Edition, statt. Ich habe einen Vortag über eher unübliche Angriffe auf Webanwendungen gehalten: '"XSS-Schwachstelle kompromittiert Server" - Ungewöhnliche Exploits näher betrachtet'.

Beschreibung:
Manchmal haben Schwachstellen Auswirkungen, mit denen zumindest auf den ersten Blick kaum jemand gerechnet hätte. Gerade das macht sie so gefährlich, wenn ein Black Hat sie als erster findet. In dieser Session werden einige ungewöhnliche Exploits vorgestellt, ihre Funktionsweise analysiert und mögliche Gegenmaßnahmen beschrieben. Wären Ihre Anwendungen vor solchen Angriffen sicher?

zum Material


AJAX IN ACTION 07

Ajax in Action 2008

Vom 28. bis 31. Oktober fand in Mainz die AJAX IN ACTION statt. Dieses Jahr gab es erstmals einen AJAX Security Day, auf dem ich zwei Vorträge gehalten habe: "Sicherheit und der AJAX-Client" und "Mashups, aber sicher".

Sicherheit und der AJAX-Client

Beschreibung:
Mit der Auslagerung von Teilen der Anwendungslogik in den Client wachsen die Gefahren für die Anwendung. Und die gehen weit über die bekannten XSS-Angriffe hinaus. So erleichtert die mächtigere Client-Logik unter Umständen SQL-Injection-Angriffe, und auch CSS erlauben manche unerwünschte Manipulationen. Wo droht Gefahr und wie kann man ihr begegnen? Diese Session liefert die Antworten.

Mashups, aber sicher

Beschreibung:
Werden in einem Mashup Inhalte aus verschiedenen Quellen ohne Sicherheitsmaßnahmen munter gemischt, kann jeder Bestandteil auf jeden anderen zugreifen. Angriffen wie Manipulationen fremder Inhalte oder das Ausspähen von Zugangsdaten wird so Tor und Tür geöffnet. Wo Gefahrenpunkte bestehen und wie man sichere Mashups entwickelt, erfahren Sie in dieser Session.

zum Material


Webinale 08

Webinale 2008: Was weiß das Web über mich?

Vom 26. - 28. Mai 2008 fand in Karlsruhe die Webinale statt, auf der ich einen Vortrag über die Verkettung digitaler Identitäten gehalten habe: "Was weiß das Web über mich?".

Beschreibung:
Wir hinterlassen überall Spuren im Web, mal mehr, mal weniger anonymisiert oder pseudonymisiert. Wer diese verknüpft, weiß oft mehr über einen Benutzer, als der ahnt und als ihm recht ist. In dieser Session geht es um die Verknüpfung dieser Spuren (Stichwort "Verkettung digitaler Identitäten") und mögliche Schutzmaßnahmen.

zum Material


Web Security Days 08

Web Security Days 2008

Am 27. und 28. Februar 2008 fanden in Frankfurt/Mörfelden die Web Security Days statt, auf denen ich zwei Vorträge gehalten habe: "Schwachstellen-Scans im Web 2.0" und "Angriffs-Frameworks: Kenne Deinen Feind!".

Schwachstellen-Scans im Web 2.0

Beschreibung:
Eine Möglichkeit für den Entwickler, Schwachstellen in Web-2.0-Anwendungen zu finden, sind spezielle Scanner. Aber Scanner sind kein Allheilmittel: Wo können sie helfen, und wo liegen ihre Grenzen? In dieser Session geht es um die Suche nach Schwachstellen allgemein und die Funktionsweise und Anwendung von Scannern im Besonderen.

Angriffs-Frameworks: Kenne Deinen Feind!

Beschreibung:
Wenn man den Feind schlagen will, muss man seine Waffen kennen. Der erste Schritt für den Websecurity-Verantwortlichen ist daher das Studium des gegnerischen Arsenals. Die Session klärt, woher Angreifer ihre Exploits bekommen, sofern sie sie nicht selbst entwickeln und stellt die Frameworks und Tools der Hacker vor.

zum Material


AJAX IN ACTION 07

Ajax in Action 2007: AJAX, aber sicher!

Vom 5. bis 7. November 2007 fand in Frankfurt/Mörfelden die AJAX IN ACTION statt, auf der ich einen Vortrag über Ajax-Sicherheit gehalten habe: "AJAX, aber sicher!"

Beschreibung:
AJAX, aber sicher! Das Web 2.0 nutzt zwar weitgehend altbekannte Technologien, doch durch die mächtige Client-Logik ergeben sich neue Bedrohungen. Bekannte Schwachstellen wie XSS und CSRF lassen sich in Verbindung mit AJAX zu neuen Angriffen kombinieren. Neue Schnittstellen wie der XMLHttpRequest und neue Austauschformate wie JSON bringen neue Schwachstellen mit sich. Diese Session zeigt neue Gefahren auf und hilft, ihnen zu begegnen.

zum Material