PDF《OWASP AppSec》

OWASP AppSec 会议 2010年6月2日Froc

2010 丹佛, 科罗拉多州 2010年6月3日至4日OWASP Day Mexico 阿瓜斯卡连特斯州, 墨西 哥2010年6月21日至24日AppSec Research

2010 斯德哥尔摩, 瑞典 2010年6月30日OWASP Argentina Day 布宜诺斯艾利斯, 阿根廷 2010年9月7日至10日AppSec USA

2010 欧文, 加利福尼亚州 2010年9月17日AppSec Ireland 都柏林, 爱尔兰 2010年11月16日至19日AppSec Brasil

2010 坎皮纳斯, 巴西 2010年5月17日 巴西OWASP AppSec 会议宣布了关键的出 席演讲人为Bruce Schneier和Jeremiah Grossman.

该会议将于2010年11月16日至 19日举行. 欲知更多信息请访问: www.owasp.org/index.php/ AppSec_Brasil_2010). 2010年巴西OWASP AppSec 会议的关键出席演讲人 OWASP时事通讯―文章征集 OWASP现征集关于应用程序安全的文章, 以发表于OWASP的时事通讯之中.所有征 集文章的内容都不能包含商业信息. 欲知更多信息或者投稿, 请与Lorna.Alamri@owasp.org 联系. in- 2010年瑞典OWASP AppSec Research会议 该大会提供完整的会议和培训计划.晚宴 将于6月23日,星期三, 在斯德哥尔摩市政 大厅举行.该市政大厅曾经颁发了诺贝尔 奖项.市政大厅的相关信息请点击此处. 2010年版OWASP Top 10已于2010年4月19日发布.OWASP受到了对该新版本发布 的极大关注.这里提供了一些来自国际新 闻媒体关注OWASP的链接.如果你还没有 看过该版本的Top 10,请花一点时间来审 阅,并请你接受挑战,把应用程序安全做 得更加清晰可见. 通过以下链接可阅读最新版本的Top 10: http://www.owasp.org/index.php/ OWASPTop10-2010-PressRelease 相关文章: Logic Flaws and the OWASP Top 10, Steve Ragan―The Tech Herald Top

10 Most Critical Web App Security Risks, Ericka Chickowski―Channel Insider Injection tops list of web application secu- rity risks, Angela Moscaritolo―SC Maga- zine OWASP Issues Top

10 Web Application Security Risks List, Kelly Jackson― DarkReading Security:

10 Most Dangerous Web App Se- curity Risks, Brian Prince―eWEEK 2010年版OWASP Top 10现已发布 AppSec 美国会议将于2010年9月7日至10 日,在位于加利福尼亚州欧文的加利福尼 亚大学会议中心举行. 关键出席演讲人将包括: Bill Cheswick―AT&

T Research HD Moore―Metasploit/Rapid7 David Rice―Geekonomics Jeff Williams―Aspect Security 会议网站将会尽快发布.其网址将是: www.appsecusa.org 2010年美国加州OWASP AppSec 会议的关键出席演讲人 OWASP最特别的地方之一,是它为那些 对热衷于应用程序安全的人提供了一个 论坛平台.Jim Manico已推出了关于与 著名应用程序安全专家的Podcast访谈系 列.他利用自己的才华开发了一个 OWASP Podcast系列,从而帮助了他职 业生涯的发展,并提高了OWASP知识基 础和关于应用程序安全的意识. 你为什么决定做第一个Podcast? 早在2008年10月,我目睹了几次 OWASP志愿者和OWASP eLists之间的 交互活动,我被其谈话内容的深度所征 服.我想,应该需要有人记录下这些. 另外,我想播客会比较容易.因此,在 没有得到允许的情况下,我就开始了录 制.:) Arshan,Jeff Williams和Jeremiah Grossman表示愿意做我的第 一个访谈对象,而我一直为OWASP进行 Podcast至今.:) 你做Podacast的最初目标是什么?现在 有所改变吗?如果有,是如何改变的? 我的最初目标是以 简单的方式 记录 一个自由的电话会议服务已经刚发行的 MP3音频.现在,我正在购买一个非常 高端的工作室话筒,并专注于通过精心 地编辑和掌握专业的技能,来保证最终 产品的质量.这让我的最初目标发生了 完全的转变,但我通过不断地努力改善 节目的质量. 这个项目是如何发展的? 今天(3月中旬),我正在编辑第63个项 目.我已经完成了多个项目并等待新Top 10的发布. 你如何准备一次访谈? 我从与嘉宾预约时间开始.我也每个月重复邀 请嘉宾参加圆桌会议的活动.我在与嘉宾见面 前就准备好相关问题.另外,我寻找一些聪明 的评论,而不让我的嘉宾感到惊讶. 最受欢迎的Podcast是哪个?最有争议的是哪 个?你最喜欢的又是哪个? 圆桌会议是最受欢迎的节目.我们曾经有一位 嘉宾把所有OWASP成员称为 一群共产党 员 ,这引起了人们的震惊.我最喜欢的节目 来自于惠普的Billy Hoffman,他说我的祖母 值得被黑掉.;

) Dave Aitel是这些人中最酷 的.Richard Stallman来的那个节目,在我问 他的Skype帐户后,狠狠地撞了我. (注: 我只在ogg!中发布Stallman的访谈!我保 证!)但我特别感谢Andre Gironda, Jeff Wil- liams和Boaz对节目的支持.坦率地说,我的 嘉宾们都太棒了! 如果你知道你现在知道的这些,你会做些什么 不同?任何方面! 我再也不会宣称一个自由的电话会议服务会足 够好到去录制一个podcast!:) 你开始Podcast时的最大挑战是什么? 尽管去做吧.一旦我们开始,Podcast的精髓 就被吸取了.:) 你为什么觉得它成功了? 因为嘉宾们.我为那些在节目中拥有令人难以 置信的智慧和才华的嘉宾们感到高兴.我们不 能没有这个社区. 如果你要对某些嘉宾进行Podcast的访谈,你 将邀请谁? 第2页OWASP Podcasts Series Hosted by Jim Manico Ep

61 Richard Bejtlich (Network Monitoring) Ep

62 Amichai Shulman (WAF) Ep

63 Ed Bellis (eCommerce) Ep

64 Andy Ellis (Availability) Ep

65 AppSec Round Table: Boaz Gelbord, Dan Cornell, Jeff Williams, Johannes Ullrich &

Jim Manico Ep

66 Brad Arkin (Adobe) Ep

67 Top TenC Jeff Williams (XSS) Ep

68 Top Ten― Kevin Kenan (Cryptographic Storage) Ep

69 Top Ten―Eric Sheridan (CSRF) Ep

70 Top Ten― Michael Coates (TLS) Ep

71 Top Ten― Robert Hansen (Redirects) Jim Manico的访谈活动 Lorna Alamri 第3页 我将只对发明HTTP的微软员工进行访谈!:) 但事实上,Bruce Schneier是我唯一仍然在 追逐中的嘉宾.我在Podcast项目的初始阶段 和Bruce进行了访谈,但是节目的录音质量太 差以致于我至今无法将它发布出去(我的 错!).Bruce!我错了!请再给我一次机会 吧.:) 下一步的计划是什么? 节目需要继续!有几个公司非常慷慨的为 OWASP赞助了该节目,并给了我一小笔预算 用于为将来的节目购买专业的设备器材.感谢Tenable,Adobe,Orbitz和Akamai给予 OWASP的赞助! 非常感谢我们的合作伙 伴在今年3月和4月更新 了对OWASP的赞助. OWASP伦敦分会 OWASP AppSec 培训计划 ? 该培训活动非常实用.它提供了相关 示范并可以让活动参加者亲手操作那 些工具软件. 相关材料可从以下链接下载: 你今天可以使用的OWASP项目和资源. 现在为其他OWASP分部提供相关材料和相 关课程. OWASP伦敦分会已于4月16号完成了它们 的第一次培训活动.它们编制了一天的演 讲活动,以解决以下这些问题: ? 除了OWASP Top 10,绝大多数 OWASP项目并没有得到广泛使用和了 解.在大多数情况下,这不是因为质 量差和缺少有用的文档和工具项目, 而是由于缺乏对企业安全生态系统或 Web应用程序开发生命周期的了解. ? 该培训活动旨在提供一些精心挑选的 成熟的和企业准备好的项目,并连同 提供一些如何使用它们的实际案例. 你有什么学到的经验要和大家分享吗?还 有其他什么你想和你的听众分享吗? 我已将我的设备列表和工序发布于http:// www.owasp.org/index.php/ Talk:OWASP_Podcast.该列表是我过去 几年来获得的宝贵经验. 最重要的是,感谢你的收听!该节目如果 没有我们那些难以置信的听众的话,就不 会成功! 如果你有评论,请在podcast@owasp.org 中给我留言. 4月的最新合作赞助商: Qualys 感谢您的支持! 你可以帮助OWASP让每个应用程序开发人员了解OWASP Top 10吗? 共享这个链接: OWASP_Top_10_-_2010.pdf 第2届Ibero-American Web应用软件安全 会议(IBWAS'

10)将于11月11日和12日 在葡萄牙里斯本举行.本届会议的宗旨 是让应用软件安全专家、教育家、研究人 员以及开业者共聚一堂讨论应用软件安 全的问题和解决办法.与会者将来自企 业, 学术界以及像OWASP这样的国际性团 体.当学术研究人员把他们的研究成果 与软件工程师的经验结合, 将会产生有 趣的结果.会议组织者已经发布了征文 启事(CfP), 有意者应根据要求在9月24日前提交文章.以下仅是建议题目(议 题不限): ? 应用软件开发的安全 ? 服务结构安全 ? 开发框架的安全 ? Web应用软件威胁模型 ? 云计算安全 ? Web应用软件风险分析(程序审查, 人 工渗透测试, 静态分析, 等等) ? 应用软件安全的度量 ? 安全编程技巧 ? 对应用软件安全有帮助的平台或编程 语言的特征 ? 如何在web应用软件中使用数据库 ? Web应用软件的访问控制检测 ? Web应用软件如何保护隐私 ? Web应用软件的规范, 证明和安全验证标 准?应用软件安全的意识和教育 ? 攻击及漏洞的利用 所有被录用的文章都将被发表在 Communications in Computer and Informa- tion Science (CCIS)系列并将给予ISBN编号.详情请看http://www.owasp.org/ index.php/IBWAS10#tab=Call_for_Papers 会议网站: http://www.ibwas.com OWASP项目最新消息 Paulo Coimbra, OWASP Project Manager 第4页JavaScript regular expression based sandbox for CSS http://code.google.com/p/cssreg/ OWASP培训 London Training: OWASP projects and re- sources you can use today May 28th,

2010 London Training: OWASP projects and re- sources you can use today April 16th,

2010 培训录像链接 http://www.youtube.com/watch?v=pYp- kJTrzCE&

feature=player_embedded 新项目: 匈牙利文翻译项目 http://www.owasp.org/index.php/ OWASP_Hungarian_Translation_Projec t#tab=Project_Details RFPC Criteria http://www.owasp.org/index.php/ Projects/RFP-Criteria 新发布 JSReg: JavaScript regular expres- sion based sandbox https://code.google.com/p/jsreg/ HTML Reg: Java Script regular ex- pression based sandbox for HTML http://code.google.com/p/htmlreg/ IBWAS '

10―征文 Carlos Serr?o, Ph.D. 跟随OWASP OWASP的Twitter feed http:// twitter.com/ statuses/ user_timeline/ 16048357.rss ASVS翻译及ESAPI 应用于PHP的项目的最新消息 Mike Boberski 应用安全验证标准(ASVS) 已经被翻译成三 种语言: 法文, 德文, 日文. 链接: ASVS Translations 其他正在翻译中的语言: 马来文, 中文, 匈牙利文, 波斯文, 西班牙文和泰文. 将企业安全应用程式介面(ESAPI) 应用于 PHP的工程的首期工作已接近完成.现正在 进行PEAR兼容, 添加phpdoc, 以及添加最 后的几个控制. 链接: http://www.owasp.org/index.php/ Cate- gory:OWASP_Enterprise_Security_API#ta b=PHP 第5页........