株クエリー開発日記

株式投資情報サイト開発の記録やバグハントなど。

linuxはバグバウンティにいいかも

いままでずっとwindows10を使ってて、ウェブサーバーとかツールを動かしたいときはvirtualboxubuntuを入れて試してた。
SSDがかなり安くなってるのを知ってせっかくだから物理マシン上でkali linuxを入れてみることにしました。デスクトップ環境はxfceで決まり。

気に食わないのはフォント周りだけど
burpはもちろんandroid studioも問題なく動くし
なによりwindowsより安定しているように思います。

SQLインジェクション

仕事で開発中のウェブアプリでSQLインジェクションを何件か見つけました。(業務アプリなのでそんなに深刻ではない)
このプロジェクトではORマッパーのプレースホルダを使ってコードレビューが通らないとリリースブランチにマージされないのですが、見つけました。
やっぱ人間なので見落としが発生するんだと思いましたね。

herokuでツールをデプロイ

nodejs製の監視ツール的なアプリを導入しようとしてherokuが使えそうだったので無料枠の範囲で試してみました。
herokuの用意したクライアントを使ってソースをpushするだけでデプロイしてアプリが動くから凄い楽チンでした。
結構昔から有るけどHerokuみたいなのPaaSっていうんですよね。すごい時代ですね。
configみたいなファイルはバージョン管理するわけにはいかないので環境変数からアプリに渡すのと
npm startで起動するのでpackage.jsonにstartを追加しなくてはいけないのがハマったところですね。