「レトロゲーム勉強会#02」に参加して来ました
みなさまお元気でしょうか
この過疎ブログでございますが…今回は
「レトロゲーム勉強会#02」に参加して来ました!
スライドなど詳しい資料はこちら(先に見たい方向け)
今回は、初台のユニオンテック さまのおしゃれなオフィスにお邪魔いたしました
絶賛エンジニアも募集中だそうです!
ニンジャは汚くないことを証明します(仮) 柴雑種 さん
プレイしちゃいましたよん
(てか、やっぱ忍者きたないじゃ~ん)
ファジングでファイナルファンタジー2のデータ解析をする(仮) togakushi さん
FFにファズれる箇所があった!!!とな!!
(ヒント:このゲームでユーザが入力できる値とは…)
バイナリ経由で特殊なあれでごにょごにょした結果、
パラメータ上げに見事成功(イエーイ)
DOOMについてあれこれ NV さん
DOOM(ゲーム)をツールでごにょり、マップ値を書き換えて
プレーヤの位置条件を変更されていました
マップの値を書き換える?便利ツールを初めて知りました!
(むかしマップもHexで普通に入ってるから、それ風な配列をバイナリで書き換えて特殊効果地形が平地になるとかはありましたね←古い)
レトロゲームプレイスポット探訪記~ミカドから場末のゲームコーナーまで~ clown_kage さん
スポットってどんなところですかな…(古いゲーセンとか)
ゲーセン巡り
1)新宿馬場ミカド(旧新宿ミカド)
配信系もがんがってるよ~
2)BAYON(埼玉)
でかい
ピンボールがあるよ!(←雰囲気よさみ)
Beepの基盤が入るぞい!
3)イトーヨーカドウ●●店
オーバキュンが遊べる?
スーパー系のゲームコーナが狙い目とのこと
あー、ハイスコアガールに出てくるような、地方ゲーセンやスーパーの一角のゲームコーナを巡りたい機運が高まってきました!
(そして、帰りはBなグルメでしめたいところです)
10分で語る「ちゃんぴおんそふと」の歴史 shinichiro_kawano さん
ADVから今のノベルゲーム系へ?のお話でした!
某ゲーム会社の某ソフトはギャルゲー?なのに、
1000面って完全おかしいとおもいます(ハードすぎでしょう…)
何があったのでしょうか?
しかし、1000面つくるという狂気にも似た美学に
某ゲーム会社の心意気を感じずにはいられませんでした
世界最熱メラガイアー実演 Daisuke Inoue さん
おなじみメラ系の攻撃魔法の理論値の最大を出す方法についてのお話でした
リアルタイムでのMMOデモで、とても見応えのあるものでした~
「9999」ヒット初めて見ました !(やったね!熱かった…そして熱かった夏もおわりです…)
クーソーしてから寝てください ShogoMatsumoto さん
某社のKindle Unlimitedのすばらしさなどを披露していただきやした!
人生とは選択の連続で・す・ね…
格ゲープレイヤーが解説するウメハラの逆転劇1分36秒 松本隆 さん
世界のウメハラの、あの大逆転プレイの解説でした!
初盤のニュートラル、中盤の下がり、中腰、には計算があったのです!!
(なんとなくやってるのかな、くらいに見てました)
ガチプロ解説でした
今日の登壇者の中で一番 うっっっすい 単なる想い出話をします sbg さん
国取合戦(あったあった!)
インベーダーゲーム、カセットビジョン(きこりのよさく~)、
FM7のチラシがタモリでした!、MSX、テープ時代のゲーム、Wizardry
ダライアス(初代)曲が全部格好良かった!
全体的に世代感が反映されたよい感じでなごみました
レトロブライトを試してみた eagle0wl さん
本体の黄ばみ対策のお話でした
そこで…「レトロブライトー」(Amigaコミュの発明)
具体的には、ワードハイター系(過酸化水素水6%)+紫外線 をつかいます
本体の黄ばみをあの頃のようにまっさらにできるよというお話でした
※番外編
せきゅりてぃうんとかぽい人が多い気がしました(・o・;)
また、ゲーム会社のヘッドハンターの方みえられていました!
休憩時間にカジュアルな面談みたくなってました!!
お酒やソフトドリンク、スナック類もあり、ゆるく楽しめる雰囲気でした
(内容はガチですが…)
女性や外国人の方の姿もちらほら見えました
最後まで読んでくれたあなたにだけ朗報(ハート)
本家スライド割愛されてるからな!本編はもっとたのしいぞい!
すぐに埋まってしまいますが、少しでも興味がある方は応募するのが吉
「れとろげーまーにひかりあれ!」
今回もゆるくまとめてみました!
以上、現場からお伝えしました!
※続報
どうみてもレトロブライト
OWASP World Tour 2017 Tokyo #2
当日のスライド下記にすべてあり
https://speakerdeck.com/owaspjapan/
※個人的に印象に残ったことを赤字にしております(怒られそうですが)
--------------------------
◆[Opening]ご注意
--------------------------
録音録画 OK
個人の撮影 NG (ただし登壇者はOK)
CPEの申請は最後にやります
自分の管理外への攻撃はダメ!(※攻撃とみなされるものもダメ)
脆弱性のある環境をグローバルにださない
--------------------------
◆[Opening]OWASP FlagShipProjectの説明
--------------------------
・ZAP →脆弱性診断、プロキシ
・Dependency Check→Java .Net 対応
・OWASP TOP10
・TestingEnviroment
・OWTF
*SecretyShepherd →新しいプロジェ、トレーニング向け
https://www.owasp.org/index.php/OWASP_Security_Shepherd
・ModSecurityCoreRule→ModSecurity関連
*ASVS →アセスメントの基準作成
*TestingGuide →診断項目
*スキルマッププロジェクト →脆弱性診断のレベル担保
--------------------------
◆[1]OWASP TOP10を用いた脆弱性対応
--------------------------
対策はProactiveControlsのドキュメント参照
WebGhotに脆弱なコードあるからコードが必要な場合さがせばよい
Spring→SpringSecurityFWがある(組み込め!)
ORマッパよりFWのセキュリティ対策機構のほうが堅牢
--------------------------
◆[2]安全な権限設計
--------------------------
最小権限が基本だす
最低限の権限
最低限の期間
^^^^^
ビジネスロジックがらみ
ツール検出困難→修正も困難なケースが多い
ユーザ権限と対応画面一覧をエクセルでまとめてアクセス制御系を潰す
そもそも論、サービス設計、仕様バグに至る可能性がある
パラメタ操作で権限昇格できるパターンなどはツール検出困難→診断員の経験に依存
・攻撃例
権限を越えた、強制ブラウズできるか
権限を越えた、強制ダウンロードできるか
?FileNameをクエリ指定でDLできるか、また解析できるクエリか
権限越えをできるか(管理ユーザ権限、一般ユーザ権限、別ユーザ権限)
パラメータ操作(Getパラ、Postパラ、Cookie)
・対策例
外部入力値でアクセス制御を行わない=サーバ側で検証可能な値を使う
デフォルトは全部拒否
最小権限
FrameWorkのACLをつかいましょ(自作やめましょ~)
・リスクアセスメント的アプローチをとりましょう
画面単位の設計→データ単位の設計へ※脅威の明確化
レコード単位、カラム単位、テーブル単位でデータの設計を考えてみる
作成契機をかんがえる
削除契機をかんがえる
※オブジェクトがいつNewしてDestoroyして触れるのは誰なのか
・検証/維持
テストコードに権限検証も入れましょう~
権限表を作る
権限表を検証できるテストコードをテスト要件に入れる
--------------------------
◆[3]ZAP
--------------------------
管理外への攻撃送信、ダメ、ゼッタイ
ウィルス検知系の検知アラートあがるかも
次リリースでアクセス制御系の検査入る。現行で試せる。
--------------------------
◆[4]OWASPBWAを用いた教育
--------------------------
BWA=BrokenWebApplication
教育するにあたり対象層と到達目標を常に意識したほうがよい
問題の粒度、難度は受講者が自力で解ける程度がよい
→モチベーションの維持のため
振り返りの重要性
→1を解いて4を解くとあ~って分かる感じにする
合宿:3日でXSS、RCE、SQLiを習得(さすが♪)
演習:週1.5H*2ヶ月で同じメニューを完遂(1.5*8=12Hくらい?)
→合宿部隊とは別に個別教育した
合宿など開催場所のNW環境が見えない場合、
演習環境を提供したほうがよい(VM配布による各自のローカル閉鎖環境のほうが楽)
デモ大事とにかくデモ作れ
--------------------------
◆[5]開発プロジェクトとセキュリティ推進(OWASP SAMM)
--------------------------
大事なのは、「定量化、可視化」
各レイヤーの要員が多層的にセキュアにする
他人に説明するときに可視化されているものがある(グラフなど)と説得しやすい
何か基準(アセスメント系)を作る場合、どこかに元ネタになるドキュメントあるので
OWASPのドキュメントをよく探すのがよい
企業内のセキュリティの仕事は色々な玉が飛んでくる
それらへのアドバイザリ的なお仕事が多い
利便性の維持とセキュリティの両立を考える
開発⇔運用の分断があってはダメ
フィードバックが必要
ヒアリング⇔ロードマップ作成は大変
悪いところだけでなく、いいところも合わせてレビューする!
大きいPRJの場合スモールスタートで小さく始めて、改善する方向がよいのでは?
--------------------------
◆[Closing] SHIFT LEFTの重要性
--------------------------
OWASPは手立て(方法、情報)を提供している
でも、モチベーションも大事
→セキュリティが開発のダメ出しになり、心のよりどころにならない
→セキュリティが絵空事になっている(工数やお金がないからできない)
OSI参照モデルの物理層以外は全部ソフト
前段階で高頻度で見直すことが必要(レビュー、テスト、)
→楽にできる仕組み→自動化、流用
英語で言えば、SHIFT LEFT
うーん、おなかいっぱいな一日でした。
またあしたから、もっと手を動かして、よく見て、地道にがんばりまーす。
OWASP World Tour 2017 Tokyo #1
おそくなりましたがレポあげます。
◆会場の雰囲気
ハッカーとか、セキュリティとか、ダーティなイメージだけど、
こわい人いなかったし、こわい雰囲気でもなかった。女性の方もちらほら。
◆対象層
開発、運用、シス管、QA、CISO、学生?など幅広い。
セキュリティ=「よくわからない、工数ない」から、
自分の現場で明日使えるセキュリティを持ち帰ることができる。
少しでも興味があるなら、無料だし参加するものよさそう。
なお、ハンズオンの無料セミナーがまた10月?あるそう。
◆準備
特になし(今回は座学のみ演習なしのため)
持っていったもの
◆発表内容
当日のスライド下記にすべてあり
※ただしその場で差しこまれた?スライドは入ってない模様
https://speakerdeck.com/owaspjapan/
スライド中で出てくるドキュメントは本家よりさがせる
https://www.owasp.org/index.php/Japan
各発表のメモは次
Kali Linux How to adjust top menu bar size
It's a small thing but I can't find... :P
$ uname -a
Linux kali 4.9.0-kali4-amd64 #1 SMP Debian 4.9.30-2kali1 (2017-06-22) x86_64 GNU/Linux
$ cd /usr/share/themes/Kali-X/gnome-shell
restart gnome-shell
ALT + F2
r + Enter
You got big top bar
以上、Kali Linux!のトップバーのフォントを大きくする方法でした。。
以上、現場からお送りしましたん!
・すぽんさー
Kali Linux に VirtualBox を入れる
2018/3/24
・公式よりパッケージDL
$ apt-get install libsdl1.2debian
$ dpkg -i *virtualbox*.deb
If you stop install and see error, delete vboxusers.
$ vi /etc/group
dd vboxusers
wq
$ dpkg -i *virtualbox*.deb
Thas's all, enjoy !
2017
難産だった。。。
・公式よりパッケージDL
・インストール
$ dpkg -i *virtualbox*.deb
->ここで問題なくインストールできた方はそのまま起動
->インストール失敗
$ apt-get install -f
あとこちら確認
Linux_Downloads – Oracle VM VirtualBox
$ vi /etc/apt/sources.list
deb http://download.virtualbox.org/virtualbox/debian jessie contrib
# https://www.virtualbox.org/wiki/Linux_Downloads
$ wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | apt-key add
$ wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | apt-key add
$ apt-key fingerprint
$ apt-get update
$ apt-get -y install virtualbox-5.1
->ダメ
・私の環境の場合以下のエラー
依存: libpng12-0 (>= 1.2.13-4) しかし、インストールすることができません
依存: libssl1.0.0 (>= 1.0.0) しかし、インストールすることができません
依存: libvpx1 (>= 1.0.0) しかし、インストールすることができません
依存: libvpx3 (>= 1.5.0) しかし、インストールすることができません
推奨: libsdl-ttf2.0-0 しかし、インストールされようとしていません
推奨: dkms しかし、インストールされようとしていません
推奨: linux-headers しかし、インストールすることができません
※
$ uname -a
Linux kali 4.9.0-kali4-amd64 #1 SMP Debian 4.9.30-2kali1 (2017-06-22) x86_64 GNU/Linux
の環境です
・以下のURLより各PKGDL
https://packages.debian.org/jessie/amd64/libpng12-0/download
https://packages.debian.org/jessie/amd64/libvpx1/download
https://packages.debian.org/jessie/amd64/libssl1.0.0/download
https://packages.ubuntu.com/ja/xenial/amd64/libvpx3/download
$ md5sum lib*
$ apt-get install dkms
$ dpkg -i libpng12-0_1.2.50-2+deb8u2_amd64.deb libssl1.0.0_1.0.1e-2+deb7u21_amd64.deb libvpx1_1.3.0-3_amd64.deb libvpx3_1.5.0-2ubuntu1_amd64.deb
$ apt-get -y install virtualbox-5.1
$ apt-get update
起動しますたん!(ぜえぜえ)
以上、現場からお送りしましたん!
・すぽんさー
Kali Linux にOpen Officeを入れる
インストール要件を確認する
JA/translation/SystemRequirements/3.x - Apache OpenOffice Wiki
インストーラーダウンロード
Apache OpenOffice Downloads - Official Site
Apache_OpenOffice_4.1.3_Linux_x86-64_install-deb_ja.tar.gz
が落ちてくるので
$ tar -zxvf Apache_OpenOffice_4.1.3_Linux_x86-64_install-deb_ja.tar.gz
$ cd DEBS
$ dpkg -i *.deb
$ cd desktop-integration
$ dpkg -i *.deb
$ apt-get update
$ apt-get upgrade
アプリケーション→15→オフィスにある
以上、現場よりお送りしましたん!
・すぽんさー