Hurra ? vi lever!

Som faste læsere af min blog forhåbentligt er bekendt med, arrangerede jeg i samarbejde med mine kollegaer og resten af OWASPs danske mailingliste med formanden Ulf Munkedal i spidsen, medlemsmøde hos Deloitte sidste onsdag (d. 3/12).

Det blev en stor succes. På forhånd havde vi håbet på ca. 15 tilmeldte, men der kom over 30 fra hele landet. Primært naturligvis fra København, men vi havde interesserede fra flere steder i Jylland, lige fra Ålborg til Fredericia. Især Robert der kom fra Ålborg bare for at fortælle om et nyt cool værktøj, imponerede med sit engagement.

Vi havde struktureret mødet sådan at vi havde det sjoveste først ' de nørdede oplæg. Her kunne man høre om OWASPs værktøj Webscarab som er et fantastisk værktøj til webhacking. Især delen med analyse af session Ids var interssant for mig ' det vidste jeg faktisk ikke, selvom jeg har brugt Webscarab i nogle år nu. Rigtigt informativt og godt indlæg af Henrik Kramshøj.

Herefter fulgte min kollega Martin Clausen med sit oplæg om hvordan han havde implementeret et nyt plugin til Webscarab til parsing af protokollen AMF, som bruges til remote funktionskald i Flash. Noget han havde gjort fordi der ikke var nogle værktøjer derude der kunne parse og ændre i trafikken mellem browseren og en Flash applikation. Noget der er meget oplagt når man skal teste input validering i Flash ' og det skal man, for Flash og andre lignende 'Web 2.0' teknologier er ' heldigvis ? kommet for at blive.

Herefter fulgte et meget lidt nørdet ' men meget interessant indlæg fra Thomas Gundel som har været med til at implementere Nem Login, som er en single sign-on løsning til offentlige portaler hvor man logger ind med Digital Signatur. Egentligt er det meget enkelt ' Systemet sørger for at du kun skal logge ind på ét offentligt sted med din Digitale Signatur. Går du fra ét offentligt website, f.eks. SKAT til din kojmmunes hjemmeside, sørger systemet for at du ikke skal logge ind igen, så det er meget praktisk ? og super sejt!.

Vores helt fra Ålborg, Robert Larsen, sluttede rækken af oplæg af med at fortælle om et værktøj der hedder Web Application Attack and Audit Framework (W3AF). Manden er desværre forfulgt af uheld. Dagen før foredraget, stod hans bærbare computer af, og han måtte ty til sin kærestes bærbare i stedet. Den kunne han så ikke helt få til at virke med vores projektor ' i hvertfald ikke hvis opløsningen på skærmen skulle være over 640x480. De gæste adgange jeg havde skaffet til Deloittes trådløse gæstenetværk virkede heller ikke helt efter hensigten, så Robert havde ikke mulighed for at tilgå den webapplikation han havde på nettet til at demonstere værktøjet med. Heldigvis havde han forudset dette og havde en web applikation til at ligge lokalt på hans computer som han brugte til formålet. Meget engageret oplæg der klart viste nogle perspektiver i værktøjet. Kort fortalt er det efter samme 'point and click' princip som Metasploit operer med, som bruges til at gøre hacks i web applikationer nemmere at udnytte. W3AF er på den måde et framework der gør det nemt at implementere nye exploits. Det kan vi lide ' og jeg glæder mig til at værktøjet bliver mere funktionelt. Som det er nu virker det da, men den funktionalitet der er planlagt, ser rigtigt spændende ud. Hent selv værktøjet og prøv ! Det koster gratis !

Anden del af mødet var straks mindre nørdet. Det spørgsmål der blev langt frem i plenum af OWASP-DKs formand, Ulf Munkedal, var om folk havde lyst til at OWASP-DK skulle blive til noget, for er det tilfældet, er det i meget høj grad en holdindsats ? at arrangere møder og holde workshops er noget der bør gå på skift, og kan ikke gøres uden at nogle har lyst til at komme og fortælle i samme stil som aftenens indlægsholdere.

Heldigvis var der god stemning for dette og det blev besluttet at holde 4 møder i 2009 som dette, og herudover at holde en række workshops i mindre fora, f.eks. om PCI compliance og hvad medlemmerne ellers har lyst til. I den forbindelse vil vi meget gerne have forslag til indlæg ? og har din virksomhed mulighed for at lægge lokaler og forplejning til møder og workshops så tøv ikke med at melde dig til listen og send os en mail.

Hurra for OWASP-DK ? Lad os gøre det til en stor succes sammen i 2009!

Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere