Zum Inhalt springen

Details

Moin Hamburg etc. !

Das Jahr geht leider manchmal schneller zu Ende als man denkt, und es war höchste Zeit für ein Treffen .

Wir haben diesmal wieder zwei spannende Vorträge -- in der Summe mit 4 M's ;-) -- : einen Kurzvortrag und einen längeren. Zu Gast sind wir nach einem Jahr wieder mal bei CCC Hansestadt Hamburg e.V.. Vielen Dank!

# TL;DR

* Start: 18:30h am 9.12.2025, Einlass: ab 18:00h. Bitte pünktlich sein.
* Lokation: Zeiseweg 9, 22765 Hamburg

  • Datum: 9.12.2024
  • Start: 18:30 Uhr. Bitte seid pünktlich (wg. Einlass \/ \/ )
  • Einlass: ab 18:00 Uhr. Wichtige Details: https://wiki.hamburg.ccc.de/club:z9:start (<-- TBC)
  • Matthias Marx: ~Telco related data leaks
  • Max Maaß: Protectors of the Realm: Wie man einen Keycloak sicher hält
  • Matthias Marx:
    (TBA)
  • Max Maaß
    Keycloak ist ein weit verbreitetes Tool für Authentifizierung und Benutzerverwaltung in vielen Projekten und wird daher oft in Sicherheitsüberprüfungen angetroffen. Die Analyse der Sicherheit einer bestehenden Keycloak-Instanz ist jedoch oft aufgrund der Komplexität der Software und ihrer Konfigurationsoptionen eine Herausforderung.Nachdem wir fast zwei Jahre lang für die Sicherheit einer Keycloak-Instanz in einem großen Softwareprojekt verantwortlich waren, teilen wir unsere Erkenntnisse darüber, worauf man achten sollte. Wir präsentieren auch unseren Open-Source-Keycloak-Konfigurationsprüfer kcwarden, den wir entwickelt haben, um unsere Arbeit zu erleichtern. Das Tool kann verbreitete Sicherheitsprobleme erkennen und lässt sich leicht anpassen, um projektspezifische Probleme wie gefährliche Rollenzuweisungen oder Verstöße gegen interne Richtlinien zu erkennen. Dies ermöglicht es uns, die Konfiguration kontinuierlich auf gefährliche Änderungen zu überwachen, die sonst unbemerkt bleiben könnten.Nach dem Besuch dieses Vortrags solltet ihr einen Überblick über häufige Keycloak-Fehlkonfigurationen haben und wissen, wie ihr kcwarden zur Unterstützung eurer Arbeit einsetzen können.

# Generelles zum OWASP-Stammtisch

Bei unseren für alle offenen Treffen geht es um Software und deren Sicherheit im Internet und/oder Informationsecurity allgemein. Hier treffen sich Menschen, die sich beruflich oder privat mit IT-Sicherheit beschäftigen: Entwickler, Manager, „Pentester“ und alle an (Web)sicherheit interessierte. Die Atmosphäre ist offen und locker. Uns geht's um den Erfahrungsaustausch, Technikschnack und um's Netzwerken. Wer Produkte oder Dienstleistungen verkaufen will, ist hier falsch. Ihr seid herzlich willkommen, euren Kollegen oder Bekannten einen Hinweis auf unsere Treffen weiterzuleiten. Alle Treffen sind frei, für jeden offen und kostenlos, mit oder ohne OWASP-Mitgliedschaft.

Schönen Gruß, Dirk

Mitglieder interessieren sich auch für