OWASP Stammtisch, Oktober

Details

Von einem, der auszog einen SSL/TLS-Checker zu schreiben

Für SSL/TLS-Testing hat jeder, der sich Pentester nennt, heutzutage was eher mächtiges in der Werkzeugkiste. Das sah vor 10 Jahren anders aus. Eine Reihe Kommandos mit einem OpenSSL-Client genügten damals fast, um der Verschlüsselung auf den Zahn zu fühlen. Heute ,im Post-Heartbleed-Zeitalter und zu einer Zeit, in der man von Massenüberwachung spricht, ist SSL-Testing keine so triviale Aufgabe mehr und schon gar nicht, wenn man den Ehrgeiz hat, solche Tests selbst zu schreiben. Will man die Checks zudem noch in einer Nicht-Hochsprache abbilden, klingt das ganze Unterfangen schon ein wenig abenteuerlich.

Neben dieser Historie zu dem heute erwachsenen Projekt testssl.sh (https://testssl.sh/) (auf github: https://github.com/drwetter/testssl.sh), (https://github.com/drwetter/testssl.sh) das Dirk ins Leben gerufen hat, kann man beim Vortrag lernen, was Tolles mit OpenSSL machen kann, es wird gezeigt, dass man mit Shellprogrammierung (/bin/bash) tierisch weit kommt, wo Grenzen und Gefahren sind, und dass es sogar etwas wie eine Source-Code-Analyse gibt. Er beleuchtet auch, wie man Netzprogrammierung mit bash erledigt. Damit die Praxis nicht zu kurz kommt, gibt es auch ein paar Demos.

Wenn Zeit bleibt, geht Dirk in seinem Vortrag noch auf einige Tief- und Abgründe von SSL-Handshakes ein, die glücklicherweise Browser von uns fernhalten.

Generelles zum OWASP-Stammtisch

Beim Stammtisch treffen sich Leute, die sich beruflich oder privat mit Anwendungen im Web und deren Sicherheit auseinandersetzen, Entwickler, Manager, "Pentester" und alle an Websicherheit interessierte. Die Atmosphäre bei OWASP ist offen und locker. Uns geht's um den Erfahrungsaustausch. Wer Produkte oder Dienstleistungen verkaufen will, ist hier falsch. Ihr könnt gerne Kollegen oder Bekannte den Hinweis auf den Stammtisch weiterleiten, alle Treffen sind frei, offen un kostenlos. Unser Thema ist in erster Linie (Web) Application Security. Man muss dazu nichts von OWASP wissen, ein vorhergehender Blick auf die Website (owasp.org) schadet allerdings nicht.

Für das Event am 6.10. ist es planungstechnisch mehr als hilfreich, entweder auf Xing, Meetup oder formlos Dirk Wetter per Mail seine Anwesenheit anzukündigen. Danke!

Nachbereitung erfolgt in der Klimperkiste.

Bis dann!

Dirk

PS: Aussicht auf den November: https://owasp.de/hamburg/