OWASP ISRAEL 2009 03 Hebrew

=OWASP Israel - פגישה באוניברסיטת תל-אביב 26/3/2009= מפגש OWASP Israel התקיים באוניברסיטת תל-אביב ביום ה' ה-26/3/2009 בין השעות 4 ל-7 בערב. המפגש נערך באולם 001 בבנין דן דוד. במפת האוניברסיטה חפשו את "כיתות דן דוד". את מפגש אירח מכון צ'ק פוינט למחקר אבטחת מידע.

בתוכנית:

אבטחת יישומי ווב סלולריים
מיקו סריו, מייסד OWASP פינלנד וארכיטקט אבטחה בחברה גדולה לציוד טלפוניה סלולרית כיום כשלמכשירים סלולריים יכולות ווב הולכות ומשתפרות, נושא אבטחת יישומי הווב הופך מרכזי גם במערכות אלו. ההרצאה תעסוק באיומי אבטחת יישומי ווב הרלוונטיים בשעת פיתוח יישומי ווב סלולריים.

ההרצאה מתאפשרת באמצעות פרוייקט OWASP on the Move המיועד לסייע בהבאת הרצאות מעניינות למפגשי OWASP ברחבי העולם.

(הורד את המצגת)

ניהול מפתחות הצפנה בהתאם לתקן PCI DSS
ירון חקון, 2Bsecure

יותר ויותר ארגונים צריכים לעמוד בתקן אבטחת המידע PCI DSS של חברות האשראי המיועד להגנה על נתוני כרטיסי האשראי. אחת הדרישות המורכבות יותר אותה מתקשים ארגונים לקיים היא הדרישה בסעיף 3 של התקן להצפנת נתוני כרטיסי אשראי ובפרט ניהול מפתחות ההצפנה.

ירון יציג פתרון שאפיין עבור חברה בתחום הסליקה הבין בנקאית של ניהול מפתחות העונה על דרישות תקן PCI DSS באמצעות טכנולוגית dot Net. ירון גם ישווה את הפתרון ליישום ניהול המפתחות הישן של הארגון.

ירון הוא יועץ אבטחת יישומים ומרכז תחום  WAF   בחברת 2Bsecure.ירון גם מרכז את משתמשים בנושא אבטחת dot Net במיקרוסופט. בשנים האחרונות יישם ירון מספר פרוייקטים בנושאי תקינה בכלל ותקן PCI DSS בפרט.

(הורד את המצגת)

זיהוי התקפות Remote File Inclusion
אור כץ, חברת Breach Security

התקפות Remote File Inclusion או RFI בקיצור הן מן ההתקפות הנפוצות ביותר על שרתי ווב, ואולם זיהויים באמצעות מערכות אבטחה כדוגמת IDS או WAF אינו פשוט. הסיבה היא שהמאפיין המרכזי שלהן, URL בשדה קלט, תקני ביישומים רבים.

אור יציג מחקר שביצע על זיהוי התקפות RFI תוך התמקדות בשילוב שלאבטחה חיובית (Positive Security) ואבטחה שלילית (Negative Security)  לזיהוי ההתקפות תוך מזעור התראות השווא (False Positives).

אור הוא ראש צוות מחקר אבטחת מידע בחברת Breach Security. (הורד את המצגת | מאמר)

WAFEC 2.0 - האם WAFs מספקים את הסחורה?
עפר שיזף, חברת Xiom

WAFEC הוא המדריך הטוב ביותר המגדיר מה הוא פיירוול אפליקטיבי - WAF - וכיצד לבחור אותו. אבל WAFEC בן 3 וכבר כשנולד היו לו בעיות רבות. המרכזית שבהן היא ש-WAFEC אינו מגדיר את תשומות אבטחת המידע של ה-WAF, כלומר ממה עליו להגן, וממילא גם אינו עונה על השאלה האם ה-WAF עומד במשימה.

חברת Xiom המתמחה במחקר אובייקטיבי בתחום WAF קיבלה את ריכוז הגרסה החדשה של פרוייקט WAFEC עבור ה-Web Application Security Consortium. בהרצאה יציג עפר את החידושים המתוכננים בגרסה החדשה וידון בשאלה מה צריכים להיות הקריטריונים לבחינת רמת האבטחה שמספק WAF.

עפר הוא המייסד של חברת Xiom, מומחה אבטחת יישומים בעל שם עולמי ועומד בראש OWASP ישראל.

(הורד את המצגת )