Sveriges viktigaste mötesplats för oss som jobbar med internet. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Tillsammans formar vi nätets framtid! - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Läs mer Read more

Hem
Program
Fallgropar och läxo…

Fallgropar och läxor för säker utveckling

bomb

24 Nov Arrangör.SE & OWASP

Open web application security project, OWASP, satsar sedan länge på att sprida kunskap om samt utveckla verktyg och guider för säkerhet i applikationer. OWASP top 10 är en lista som beskriver de värsta fallgroparna du som utvecklare och IT-ansvarig har att se upp med. Den beskriver de vanligaste förekommande bristerna i relation till teknisk konsekvens, och är framarbetad av ett antal av de ledande applikationssäkerhetsspecialisterna i världen och refereras till av ett antal metodiker, däribland PCI.

Under dagen kommer varje område förklaras, exemplifieras och lösningsförslag för de större språken/ramverken kommer att presenteras. Samtliga kategorier kommer att behandlas under dagen, dock inte i ordningsföljd då vissa kategorier baseras på snarlika grundbrister eller då lösningsförslagen är likartade och har därför parats ihop under ett och samma pass.

Hashtagg: #ind14secdev

Presentationer från dagen: Martin Jartelius (PDF), Fredrik Hesse (PDF), Jonas Lejon (PDF), Dan Berg Johnson och Daniel Deogun (Slideshare), Åke Bengtsson och Gustav Nyqvist (PDF).

09:00-10:00
- Plats A1 Kongresshallen, plan 4
Keynote-sessions
Talare
- Cory Doctorow Författare och aktivist
  
  Cory Doctorow är en kanadensiskfödd författare av science fiction-böcker, och en förgrundsfigur inom frågor som rör integritet online och öppen källkod, samt även en produktiv föredragshållare, journalist och bloggare. Läs mer
- Emily Parker Författare och journalist
  
  Emily Parker är författare som satt fokus på hur internet och sociala medier ger kraft åt aktivister och gräsrotsrörelser i Kina, Kuba, Ryssland och Mellanöstern. Läs mer
10:00-10:30
- Plats M1, plan 4
Fika
10:30-10:40
- Plats C1
Intro Läs mer
Moderator(er)
- Anne-Marie Eklund-Löwinder Head of Security, .SE
  
  Ranked as one of Sweden’s foremost IT security experts. One of a select few in the world to participate in the key generation for DNSSEC in the root zone for the Internet. Board member on several boards and commenter for official government reports regarding the Internet and security. Läs mer
10:40-10:50
- Plats C1
OWASP Intro Läs mer
Talare
- Mattias Bergling OWASP Sweden & NASDAQ OMX.
  
  Mattias Bergling arbetar med IT och informationssäkerhet på Nasdaq. Han startade den svenska OWASP avdelningen tillsammans med John Wilander 2008 och delar för närvarande ansvaret för det Stockholms-baserade OWASP avdelningen med Robert Malmgren. Läs mer
10:50-11:50
- Plats C1
- Språk Svenska
Injektionsbrister, autentisering och sessionshantering Läs mer

Kategorin injektionsbrister innehåller högprofilbrister såsom SQL-injektion, som ofta används för att angripa webbplatser i syfte att extrahera användarnamn och lösenord(shashar) från databaser. Andra injektionsbrister såsom kod- och kommandoinjektion kommer även belysas. Kategorin autentisering och sessionshantering kommer att behandla vanliga brister i implementationen av AA(A) vilket i många fall kan leda till obehörig åtkomst till information via direkta angrepp alternativt via horisontell eller vertikal "privilege escalation".
Talare
- Kalle Zetterlund IT-säkerhetskonsult, Sentro
  
  Kalle Zetterlund jobbar som IT-säkerhetskonsult på Sentor MSS AB. Där ägnar han sig framförallt åt tekniska säkerhetsgranskningar samt att hålla utbildningar och seminarier.
  Läs mer
11:50-12:30
- Plats C1
- Språk Svenska
Avsaknaden av kontroller Läs mer

Det andra passet inkluderar kategorierna Insecure Direct Object References, Missing Function Level Access Control och Unvalidated Redirects and Forwards. Samtliga bristtyper i dessa kategorier har sitt ursprung i avsaknanden av kontroller - antingen mot accesslistor eller mot vitlistor - vilket kan leda till att angripare erhåller obehörig åtkomst till funktioner eller information ej avsedda för dem. Andra konsekvenser kan vara att angripare omdirigerar användare till webbplatser för ytterligare angrepp - såsom phishing eller spridning av skadlig kod.
Talare
- Martin Jartelius CSO, Outpost24
  
  Martin Jartelius arbetar som CSO på Outpost24, med en bakgrund som penetrationstestare och it-forensiker. Idag arbetar han mycket med strategisk utveckling och research kring webbsäkerhet.
  
  Läs mer
12:30-13:30
- Plats M1, plan 4
Lunch
13:30-13:50
- Plats A1 kongresshallen, plan 4
Keynote-session: Sougwen Chung

Sougwen Chung är en kinesisk-kanadensisk konstnär med bas i New York. Hennes tvärvetenskapliga process spänner över ritkonst, video, animering, 3D, ljudkonst samt installationer.
14:00-15:00
- Plats C1
- Språk Svenska
Vanligt förekommande brister Läs mer

Under det tredje passet kommer vi att gå igenom kategorierna Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) samt Sensitive Data Exposure. XSS-brister är förmodligen den vanligaste förekommande rapporterade bristen under de senaste åren. Huruvida de faktiskt utnyttjas i samma utsträckning är oklart, men givet spridningen av Internet-teknologier såsom HTML5 så finns risken att bristerna kvarstår/återuppstår och utnyttjandet ökar. Sensitive Data Exposure innefattar allt ifrån klartext/SSL/mixed content problematik till best practice-/policy-avvikande lagring av känslig information - såsom o-saltade/-krypterade lösenord eller kreditkortsinformation i databaser.
Talare
- Åke Bengtsson Säkerhetskonsult
  
  Åke Bengtsson jobbar på Knowit som säkerhetskonsult med att skapa säkra säkerhetslösningar till kunder, främst inom bank- och vårdsfären. Är tillsammans med Gustav Nyqvist grundare och aktiv i OWASP East Sweden. Läs mer
- Gustav Nyqvist IT-Säkerhetskonsult
  
  Jobbar på Knowit, vanligtvis som utvecklare och testare, med inriktning mot säkerhet. Läs mer
15:00-15:30
- Plats M1, plan 4
Fika
15:30-16:30
- Plats C1
- Språk Svenska
Säkerhetsuppdateringar och kvalitetsmetoder Läs mer

Det sista passet avhandlar kategorierna Security Misconfiguration och Using Components with Known Vulnerabilities samt ett föredrag om Domain Driven Security. Security Misconfiguration och Using Components with Known Vulnerabilities behandlar områden där konfiguration och/eller avsaknaden av säkerhetsuppdateringar kan leda till brister i samtliga kategorier. Domain Driven Security går igenom hur man, genom att arbeta med kvalitetsmetoder inom utveckling, kan få mycket "gratis" inom säkerhetsområdet.
Talare
- Jonas Lejon IT-Säkerhetskonsult
  
  Jonas jobbar som konsult inom teknisk IT-säkerhet och områden såsom kryptering, webb, reverse-engineering och granskning.
  Läs mer
- Dan Bergh Johnsson VP Strategic Competence, Omegapoint
  
  Agile aficionado; Domain Driven Design enthusiast; code quality craftsman, with a long time interest in security. The combination made Dan use quality practices from DDD to adress application security issues - thus being one of the founders of the field Domain Driven Security around 2009.
  Läs mer
- Daniel Deogun Senior Consultant Omegapoint
  
  Daniel Deogun is a senior consultant at Omegapoint in Stockholm. His extensive experience ranges from patient critical pacemaker software to high performant reactive systems. Läs mer
- Ulrich Wisser Systemutvecklare, .SE
  
  Utveckla mjukvara på dagarna och tränar arm- och halslås på kvällarna.
  Läs mer
16:30-17:00
- Plats C1
- Språk Svenska
Frågestund och avslutning Läs mer

De talare som presenterat under dagen samlas på scenen och vår panelordförande ser till att de svarar kort och koncist på deltagarnas frågor.
Moderator(er)
- Robert Malmgren Romab AB
  
  Robert är en av Sveriges ledande IT-säkerhetsexperter med uppdrag åt myndigheter och internationella företag inom kritisk infrastruktur, skydd av IT system, praktiska IT-säkerhetstester och som strategisk-teknisk säkerhetsrådgivare. Läs mer
17:00-21:00
- Plats A1 kongresshallen, plan 4
Mingel, middag och underhållning

Anmälan

Att gå på ett evenemang på Internetdagarna kostar endast 1 000 kronor (ex moms). Varje evenemang har ett begränsat antal platser – först till kvarn. Passa också på att gå på något av de evenemang som arrangeras den andra dagen! Ta en titt på evenemangssidan – vi hoppas att du hittar något för dig under båda Internetdagarnas dagar.

Möjlighet att anmäla sig kommer upp på internetdagarna.se i höst.

Du kanske också är intresserad av ...

Har du bestämt dig för att gå på Fallgropar och läxor för säker utveckling eller velar du? Spana gärna in något av våra andra närbesläktade arrangemang under årets upplaga av Internetdagarna innan du bestämmer dig.