Posts tagged OWASP

OWASP IBWAS’10 Call for Training Proposals

Jul 28th

Posted by Carlos Serrao in OWASP | 344 views

No comments

2nd. OWASP Ibero-American Web-Applications Security conference (IBWAS’10)
ISCTE – Lisbon University Institute
25th – 26th November 2010
Lisboa, Portugal
http://www.ibwas.com

**CALL FOR TRAINING SESSIONS**



IBWAS and OWASP is currently soliciting training proposals for the OWASP Ibero-American Web Applications Security 2010 Conference (IBWAS’10) which will take place at ISCTE-IUL, Lisboa, Portugal, on November 24 through November 26, 2010.

There will be training courses on November 24 followed by plenary sessions on the 25 and 26 with multiple tracks per day.



We are seeking training proposals on the following topics (in no particular order):

- Application Threat Modeling

- Business Risks with Application Security

- Hands-on Source Code Review

- Metrics for Application Security

- OWASP Tools and Projects

- Privacy Concerns with Applications and Data Storage

- Secure Coding Practices (J2EE/.NET)

- Starting and Managing Secure Development Lifecycle Programs

- Technology specific presentations on security such as AJAX, XML, etc

- Web Application Security countermeasures

- Web Application Security Testing

- Web Services, XML and Application Security

- Anything else relating to OWASP and Application Security



Proposals on topics not listed above but related to the conference (i.e. which are related to Application Security) may also be accepted.


To make a submission you must fill out the form available at http://ibwas09.netmust.eu/files/ibwas10/OWASP_IBWAS_2010_CFT.rtf.zip and submit by email to secretariat@ibwas.com.

There may be 1 or half a day courses. The proposals must respect the restrictions of the OWASP Speaker Agreement. The conference will reward trainers with at least 30% of the total revenue of their courses, based on a minimum attendance. Courses that attract more students may be granted higher percentages. No other compensation (such as tickets or lodging) will be provided. If you require a different arrangement, please contact the conference chair at the email address below.

**Compensation**
Instructors and authors will be paid based on the number of students in their training sessions. If the training gathers only the minimum number of students, the compensation will be 30% of the revenue. For each group of 10 extra students enrolled, the compensation will be increased by 5% of the revenue, up to a maximum of 45% of the training revenue. For example, a 1-day training with 10 to 19 students will generate a compensation of 30% of the revenue. For classes of 20 to 29 students, the compensation raises to 35% percent of the revenue.

In exceptional cases, different compensation schemes may be accepted. Please contact the conference organization team by email (secretariat@ibwas.com) for details.

**Training cost**
half-day training: 250 EUR per student
1-day training: 450 EUR per student
All prices in Euros (EUR)

**Minimum number of students**
half-day trainings: 10 students
1-day trainings: 20 students

**Important Dates:**

Submission deadline is September 20, 2010.

Notification of acceptance will be October 8, 2010.

Final version is due October 29, 2010.



The conference organization team may be contacted by email at secretariat@ibwas.com



For more information, please see the following web pages:
Conference Website: http://www.ibwas.com, http://www.owasp.org/index.php/IBWAS10
OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement
OWASP Website: http://www.owasp.org
Easychair conference site: http://www.easychair.org/conferences/?conf=ibwas10
Presentation proposal form: http://ibwas09.netmust.eu/files/ibwas10/OWASP_IBWAS_2010_CFT.rtf.zip

********** WARNING: Submissions without all the information requested in the proposal form will not be considered ************

Please forward to all interested practitioners and colleagues.


, , , ,

IBWAS’10 muda de data

Jul 15th

Posted by Carlos Serrao in OWASP | 268 views

1 comment

A 2ª Conferência Ibero-Americana em Segurança de Aplicações Web (IBero-american Web Application Security conference – IBWAS), alterou as suas datas de realização, devido ao facto de que o OWASP SUMMIT 2010, ter sido marcado para uma data que era coincidente com a IBWAS’10, impedindo assim que muitos dos membros da OWASP perdessem a oportunidade de estarem presentes em ambos os eventos.

Assim, optou-se por adiar a realização da conferência IBWAS’10 por duas semanas, sendo que as novas datas são dia 25 e 26 de Novembro.

Aproveito igualmente para informar que os prazos para a submissão de artigos foram igualmente estendidos.

Continuamos apostados em fazer da IBWAS’10 um excelente evento na área da segurança de informação.


, , ,

OWASP Top 10 para programadores .Net

Jul 15th

Posted by Carlos Serrao in OWASP | 304 views

No comments

O Bruno Morisson partilhou hoje na ML da InfoSec-Pros-PT um link muito interessante – um conjunto de artigos num blog de um tal de Troy Hunt, um arquitecto de software.

Nesta série de artigos, são abordados os diversos riscos identificados pelo OWASP Top 10, sendo explicados detalhadamente cada um deles, com exemplos, numa perspectiva de um programador de .Net.

Para já, já existem os seguintes artigos sobre três dos principais riscos:

Mais artigos sobre os restantes riscos OWASP devem seguir-se.


, , , , ,

Apresentação na World Internet Project 2010 (WIP2010)

Jul 6th

Posted by Carlos Serrao in OWASP | 317 views

No comments

O World Internet Project (WIP) é um projecto internacional e colaborativo que olha para o impacto social, político e económico da Internet e de outras novas tecnologias.

O WIP reuniu-se em Lisboa, no ISCTE-IUL, no seu 11º encontro anual, a ter lugar entre 6 e 8 de Julho, e juntou um conjunto de pessoas de todo o mundo que discutem alguns dos problemas com a actual Internet.

Estive lá, e fiz uma apresentação muito sucinta de alguns dos problemas da WWW, e do OWASP.

Aqui está a apresentação.


, , , , ,

Nova versão da ferramenta OWASP JBroFuzz

Jul 1st

Posted by Carlos Serrao in OWASP | 277 views

No comments

Foi lançada uma nova versão da ferramenta JBroFuzz a ser desenvolvida num dos projectos patrocinados pela OWASP.

Ok, mas o que é isto do Fuzzing e para que serve?

Nada melhor do que usar a definição na Wikipedia, que define o Fuzz testing ou fuzzing como sendo uma técnica de testes a software que passa input inválido, inesperado e aleatório para uma determinada aplicação de software. Se o programa falhar (por exemplo se crashar), é possível detectar os defeitos do mesmo.

No caso específico do JBroFuzz, trata-se de um fuzzer específico para aplicações web. O JBroFuzz pode ser utilizado para enviar pedidos fuzzing para aplicações web, através do protocolo HTTP ou HTTPS.

A ferramenta gera pedidos, envia-os para a aplicação em cause e regista as respostas que recebe de volta. Não tenta identificar se um determinado site é vulnerável ou não, necessitando depois intervenção e análise manual.

Mais uma ferramenta da OWASP, a juntar à colecção de excelentes recursos disponibilizados gratuitamente pela organização.


, , , , , ,

Just 4 Meeting

Jun 18th

Posted by Carlos Serrao in OWASP | 259 views

No comments

É já nos próximos dias 25, 26 e 27 que se vai realizar o evento Just 4 Meeting, Information Security Meeting, Workshops and Training Sessions.

Eu vou lá estar…

Estou particularmente interessado nas seguintes sessões:

  • 100% hands-on W3AF
  • DDos

Podem consultar a agenda aqui, assim como podem ver o cartaz do evento aqui.

Depois conto como foi.


, , , ,

O estado da segurança das aplicações Web

May 11th

Posted by Carlos Serrao in OWASP | 424 views

No comments

O Ponemon Institute, devidamente patrocinado pela Imperva e pela WhiteHat Security (que estão devidamente representados na OWASP) levaram a cabo um estudo alargado sobre a Segurança de Aplicações Web.

O estudo foi conduzido com o objectivo de perceber os riscos de sites de web inseguros e como as organizações estão a lidar com as ameaças internas e externas. O estudo revela que apesar de muitas organizações terem algumas das suas aplicações críticas de negócio acessíveis através dos seus sites web, as mesmas não conseguem envolver os recursos necessários para garantir a protecção e segurança destas aplicações web que são importantes nas suas operações. Isto é particularmente preocupante se considerarmos que a camada aplicacional é um dos alvos preferidos de atacantes.

O estudo envolveu cerca de 638 empresas dos Estados Unidos e um conjunto de empresas de segurança. O estudo revela que os sites web estão em risco pelos seguintes motivos:

  • 70% dos inquiridos não acreditam que as suas organizações reservem e invistam os recursos suficientes para garantir a segurança e proteger as suas aplicações Web críticas;
  • 34% de vulnerabilidades urgentes e críticas não são resolvidas;
  • 38% acreditam que será necessário mais do que 20h de tempo de programação (em média) para resolver uma vulnerabilidade;
  • 55% dos inquiridos acreditam que os programadores estão demasiado ocupados para responderem aos problemas de segurança detectados.

É um estudo muito interessante, e com resultados igualmente interessantes.

Aconselha-se a leitura do mesmo. Aqui.


, , ,

Jarlsberg

May 7th

Posted by Carlos Serrao in OWASP | 492 views

No comments

Jarlsberg é o seu nome, e é uma aplicação desenvolvida pela Google para demonstrar como funcionam as principais vulnerabilidades em aplicações Web. Como já havia referido por aqui, o gigante da Web parece finalmente ter acordado para o verdadeiro problema de segurança das aplicações Web, e começa a apostar bem forte na protecção das mesmas, como uma forma de proteger o seu próprio core business.

O Jarlsberg é portanto uma aplicação web inerentemente insegura, um pouco à semelhança do que acontece com o Webgoat da OWASP, que serve para demonstrar como funcionam os mais diversos ataques a aplicações Web. A ferramenta está organizada em diversos laboratórios de teste, que permitem que alguém possa ir evoluindo no estudos dos mesmos. É possível usar técnicas de black box hacking e de white box hacking para ir explorando as múltiplas vulnerabilidades da aplicação, que vai desde cross-site scripting e cross-site request forgery a perdas de informação, negação de serviços e execução remota de código.

O Jarlsberg funciona integralmente online, sobre o Google AppEngine, foi escrito em Python, e constitui-se assim como excelente recurso de formação e de treino nesta área. Ao longo de diversas lições devidamente explicativas e claras, e com a ajuda da ferramenta da Google, o utilizador irá perceber um pouco melhor todo este contexto de segurança aplicacional para a Web.

Vale a pena ver.


, , , , , , , ,

HaKIn9

Apr 30th

Posted by Carlos Serrao in OWASP | 409 views

2 comments

Aqui está o primeiro número gratuito da revista Haking, com uma série de artigos bastante interessantes.

Gostaria de destacar nesta edição o seguinte:

  • Firewalls para Principiantes, em que num exaustivo artigo se faz um apanhado intensivo sobre o que é uma firewall, para que serve, algumas arquitecturas e configurações;
  • Modelação de Ameaças, em que é apresentada uma metodologia para o desenvolvimento de software seguro;
  • Serviços de Protecção contra Roubo de Identidade, um artigo sobre uma nova indústria que está a nascer;
  • Uma entrevista com o Ferruh Mavituna, um dos developers por detrás da ferramenta Netsparker.


, , ,

Apresentações do OWASP @ ISCTE-IUL, Workshop em Segurança Aplicacional

Apr 21st

Posted by Carlos Serrao in OWASP | 328 views

No comments

Para todos os que estiveram hoje presentes no Workshop, o nosso obrigado pela vossa presença e um pedido de desculpas por não termos respeitado o tempo disponível para as apresentações.

Tal como prometido aqui ficam as diversas apresentações de acordo com o alinhamento estabelecido no workshop.






, , , ,
1234»