株クエリー開発日記

株式投資情報サイト開発の記録やバグハントなど。

SQLインジェクション

仕事で開発中のウェブアプリでSQLインジェクションを何件か見つけました。(業務アプリなのでそんなに深刻ではない)
このプロジェクトではORマッパーのプレースホルダを使ってコードレビューが通らないとリリースブランチにマージされないのですが、見つけました。
やっぱ人間なので見落としが発生するんだと思いましたね。

herokuでツールをデプロイ

nodejs製の監視ツール的なアプリを導入しようとしてherokuが使えそうだったので無料枠の範囲で試してみました。
herokuの用意したクライアントを使ってソースをpushするだけでデプロイしてアプリが動くから凄い楽チンでした。
結構昔から有るけどHerokuみたいなのPaaSっていうんですよね。すごい時代ですね。
configみたいなファイルはバージョン管理するわけにはいかないので環境変数からアプリに渡すのと
npm startで起動するのでpackage.jsonにstartを追加しなくてはいけないのがハマったところですね。

hackeroneでインシデント

https://hackerone.com/reports/745324

20000ドル!羨ましい。
hackeroneスタッフが間違ってセッションクッキーを含むpayloadをメッセージに含めちゃったらしい。
これよく気付いたなあ。

dockerは環境構築に使えそう

いままでWindows上にVirtualBoxで仮想環境作って
webサーバー入れたり、ツール入れたりしてたんだけど
複雑な構成を色々試したいとき
docker使えばかなり楽になりそう。