Tuesday, April 15, 2008

Web Application Security Summit

SANS and WASC have organized a Web Application Security Summit in Vegas.

Web Application Security Summit
Jeremiah Grossman, Summit Chair
with Robert “RSnake” Hansen, Gary McGraw, and Caleb Sima
June 2-3, 2008 • Paris Hotel & Casino • Las Vegas, NV


On June 2-3, Various Application Security folks working in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprises will share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons learned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir application security initiatives. Case studies in application security initiatives will be presented and dozens of questions will be answered. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few years, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has been a huge surge in web application attacks since that around 70% of all web applications had security flaws...and now 80% of new malware is focused on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application layer.

Applications have become cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easier attack target. With that change, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminals added a new security challenge—not only must corporations and schools and governments ensure secure configuration and effective patch management, now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y must also ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y deploy have no security flaws. The WhatWorks in Application Security Summit 2008 brings togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pioneers who have already faced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application security problem. If you are spending or about to spend a lot of money and want to make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investment actually improves security cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are real users who can tell you what works and what doesn’t.


Agenda


  • Is this a developer problem or a security problem? What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of each and how do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y work togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r?
  • What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary attack vectors criminals are using to compromise applications and which programming errors account for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast majority of those attacks?
  • How can we ensure our programmers know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common security flaws and can consistently eliminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code we are deploying? Training? Testing? Hiring? And how can we make sure our outsourced programmers and suppliers also have those skills?
  • How do you architect security into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development lifecycle? How do you implement a layered approach to application security? What is SDLC and is it enough?
  • In addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Credit Card Industry (PCI) Standard, what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r standards demand improved application security and what do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y specifically require?
  • Which application security software tools work best? Do we need a combination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools or will one suffice?
    • Black-box: web application scanners
    • White box: code reviewers
    • Application security firewalls
  • How often do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools create false positives and what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best practices for dealing with false positives? And much more…


This could be a great place to learn from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r's experiences who have been in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hot seat and have real live experience and insight of what worked for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and what didn't and why.

You can get a 10% discount if you register early.
To register go to: https://www.sans.org/registration/register.php?conferenceid=11223 and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discount, WASC10

Friday, April 11, 2008

RSA Conference Pictures

RSA Conference 2008 is almost over. As usual cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were so many companies showcasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products and services or in some cases just a little bit of fun like video games, rock climbing, etc.

I personally think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were more companies talking about web application security cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n last year. We still need some more companies with secure SDLC solutions to come out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. In addition, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were booths from NSA, US Cert (DOJ), MITRE, ISSA, ISACA, CERT (Carnegie Melon), etc.



I got a press pass :)















































WASC meetup at RSA - pictures

WASC meetup at RSA was a huge success. More cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n 100 people showed up and it was a lot of fun sharing ideas and experiences with our peers. I am posting some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pictures I took below.



Caleb Sima(HP), Robert Auger(WASC)


Neil Daswani (Google), Robi papp (Accuvant)


Pool was so much fun.


Dawn Van Hoegaerdan (Whitehat Security), Jermiah Grossman, Rachel Miller (Shift Communiations)


Dawn, James(SecTheory), Robert Hansen (SecTheory), Rachel Miller



Steve Orin(intel), Billy Hoffman(HP)


Bryan Sullivan (Microsoft)


Dan (Mozilla), Robert Kelly


Jeff Gall (Whitehat Security)



Heacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Cason (Breach Security, Stephanie Fohn (CEO - Whitehat Security)



Daniel Herrera and Mitch Poortinga(Whitehat Security) with James (SecTheory)


Andy Steingruebl (Paypal)


The food was delicious


Sheeraj Shah(BlueInfy), Nish Bhalla (SecurityCompass), Rohit Sethi(SecurityCompass)


Robert Auger (left) and Robert Hansen(right) ganging up on Dan from Mozilla (center). He is still standing strong (as you can tell)


Caleb Sima (HP) with Amit Klein (Trusteer)


Dawn and Rachel with Amit klein


Dawn and Rachel with Steve Orin



Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r posts on WASC Meetup
http://jeremiahgrossman.blogspot.com/2008/04/wasc-meet-up-rsa-2008.html