Continuous Security Testing mit IAST

Details

Moin in die Runde,

es steht der nächste Vortrag ins Haus.

IAST steht für Interactive Application Security Testing. Matthias Rohr wird dazu was vortragen und es gibt eine kleine Demo.

TLDR:
======
Titel: "Continuous Security Testing mit IAST"
Sprecher: Matthias Rohr
Lokation: XING. 8tes OG
Start: 18:30

Abstract:
=========
Tools, die in selbstgeschriebenem Code Sicherheitsprobleme wie XSS, SQLi oder XXE aufdecken, fielen bislang vor allem in zwei Kategorien: Zum einen sog. SAST-Tools wie z.B. Find Security Bugs, welche diesen hierzu statisch analysieren. Zum anderen DAST-Tools, wie OWASP ZAP, welche dies zur Laufzeit, primär über HTTP(S), tun.

Daneben existiert mit IAST jedoch noch eine dritte Kategorie, welche in gewisser Hinsicht eine Kombination von SAST und DAST darstellt und hierdurch zumindest einige der Probleme beim Einsatz beider Kategorien deutlich mindert.

IAST-Tools gibt es zwar schon seit längerem, jedoch haben diese erst in den vergangenen Jahren stark an Bedeutung gewonnen.

Grund genug, IAST einmal kritisch zu beleuchten. In dem Vortrag wird hierzu gezeigt werden wie IAST technisch und, anhand einer Demo, auch praktisch funktioniert. Es wird dargestellt, wie sich hier gängige Ansätze unterscheiden und was die Möglichkeiten, aber auch Grenzen dieser Technologie sind.

Generelles zum OWASP Stammtisch
==================================
Our meeting is about web applications and their (in)security and/or about IT security in general. People come together who care as a hobby or in their job about information security: developers, managers, pentesters and everybody else who's interested. The atmosphere is open and relaxed. Who's coming to sell products or services: Move on, this is not the right place. OWASP is about education and sharing (mostly) technical information.
Feel free to forward our meetup information to your colleagues or friends. They are welcome, too. Participation is free and open -- as the O in OWASP.

Cheers, Dirk