我的GraphQL安全学习之旅

GraphQL简介

GraphQL是Facebook的一个开源项目,定义了一种查询语言,用来代替传统的RESTful API。看到QL这样的字眼,很容易产生误解,以为是新的数据库查询语言,但其实GraphQL和数据库没有什么太大关系,GraphQL并不直接操作查询数据库,可以理解为传统的后端代码与数据库之间又多加了一层,这一层就是GraphQL.

传统的RESTful API是一个接口对应一个url,GraphQL是通过一个url接口改变请求所POST的查询参数,来达到多个api的查询效果。

GraphQL初窥

在查找GraphQL资料的过程中,都可以看到一个简单的demo,不过查询结果都是代码写死的,对于理解GraphQL和数据库之间的关系,并不是很有帮助,我写了一个简单和数据库连接的demo,python代码如下:

from flask import Flask
from flask_sqlalchemy import SQLAlchemy
import os
import graphene
from graphene_sqlalchemy import SQLAlchemyObjectType, SQLAlchemyConnectionField
from flask_graphql import GraphQLView

app = Flask(__name__)
app.debug = True

basedir = os.path.abspath(os.path.dirname(__file__))

app.config['SQLALCHEMY_DATABASE_URI'] = 'mysql+pymysql://root:root@127.0.0.1:3306/test?charset=utf8mb4'
app.config['SQLALCHEMY_COMMIT_ON_TEARDOWN'] = True
app.config['SQLALCHEMY_TRACK_MODIFICATIONS'] = True

db = SQLAlchemy(app)

class UserModel(db.Model):
    __tablename__ = 'user'
    id = db.Column(db.Integer, primary_key=True)
    name = db.Column(db.String(256), index=True, unique=True)
    password = db.Column(db.String(256), index=True)

    def __repr__(self):
        return '<User %r>' % self.username
class User(SQLAlchemyObjectType):
    class Meta:
        model = UserModel
        
class Query(graphene.ObjectType):
    users = graphene.List(User)
        
    def resolve_users(self, info):
        return UserModel.query.all()
        
schema = graphene.Schema(query=Query)

@app.route('/')
def index():
    return '<p> Hello World!</p >'

app.add_url_rule(
    '/graphql',
    view_func=GraphQLView.as_view(
        'graphql',
        schema=schema,
        graphiql=True
    )
)

if __name__ == '__main__':
    app.run(host='0.0.0.0')

访问http://localhost:5000/ 即可看到demo。

query{
  users{
    id,
    password,
    name
  }
}

查询结果如下:

查询结果.png

查询出来的数据即UserModel.query.all()的执行结果。但如果我要在浏览器实现只查询id=2的用户的信息是做不到,因为后端python代码里没有写,也就是说,只有代码里写了接口,定义了相应的schema,才能通过GraphQL查询出对应结果,所以并不是通过GraphQL就能查询获取数据库所有数据

GraphQL的安全问题

如果看过p牛在先知大会上的分享——《攻击GraphQL》,会对GraphQL的安全问题有一个全面的认识。这里,在GraphQL安全问题研究上,我并没有新的发现,可以算是个人的学习笔记以及自己的一些理解。

让我们先回顾一下p牛总结的问题。

GraphQL安全问题总结.png

这ppt中提到的sql注入,个人感觉和GraphQL并不是太大关系,在不了解GraphQL的时候,一度以为看到用了GraphQL就以为找到了注入。如果代码的数据库查询都是像我上面那样的规范操作,自然是不存在sql注入的。若查询返回数据的方式使用的是原生语句查询数据库,一旦用户参数未经安全过滤进入数据库,还是存在sql注入。

至于csrf,GraphQL可以通过Mutation进行数据更改,若graphql接口未做安全校验,自然可以通过构造恶意html进行攻击。ppt中给的poc如下:

<html>
 <body>
 <script>history.pushState('', '', '/')</script>
 <form action="https://graphqlapp.herokuapp.com/" method="POST">
 <input type="hidden" name="query"
value="mutation&#32;&#123;&#10;&#32;&#32;editProfile&#40;name&#58;&quot;hac
ker&quot;&#44;&#32;age&#58;&#32;5&#41;&#32;&#123;&#10;&#32;&#32;&#32;&#32;n
ame&#10;&#32;&#32;&#32;&#32;age&#10;&#32;&#32;&#125;&#10;&#125;" />
 <input type="submit" value="Submit request" />
 </form>
 </body>
</html>

个人在挖掘src的过程中,碰到不少站点有用到GraphQL进行数据查询。发现的漏洞主要是信息泄露,和ddos拒绝服务。

发现的ddos漏洞在黑盒层面无法判断是否和GraphqQL有直接的关系,漏洞很简单,在graphql的query请求当中,有一个limit参数,当我将参数调成一个超大数字时,网站就卡死宕机了,无法判断后端哪一层崩溃了。

再回到信息泄露的问题上,个人觉得这才是大家在用GraphQL进行开发时,常忽略的地方。GraphQL可以使用schema和type查询可用的对象和对象的所有字段

如下,以我上面的demo为例,查询可用对象

query __schema{
  __schema{
    types{
      name
    }
  }
}
image.png

得到User,再查询User的字段。

 {      __type(name: "User") {
            name
            fields {
                name
                type {
                    name
                }
            }
        }
    }
image.png

在实际挖洞过程中,就可判断是否存在敏感字段,如用户的password,phone,address等。再做进一步的漏洞挖掘。

但有时目标网站可能存在几十个对象,一个一个查找出具体的字段显示是太麻烦了,是否可以编写工具进行批量查询呢?本想自己写一下,但发现已经有大佬给我们做好了。

项目在git地址为https://github.com/doyensec/graph-ql,通过这个工具可以详细列出网站的对象还有对应字段。分析他的python源码可以得到这两个payload。

query IntrospectionQuery{__schema{queryType{name}mutationType{name}subscriptionType{name}types{...FullType}directives{name description locations args{...InputValue}}}}fragment FullType on __Type{kind name description fields(includeDeprecated:true){name description args{...InputValue}type{...TypeRef}isDeprecated deprecationReason}inputFields{...InputValue}interfaces{...TypeRef}enumValues(includeDeprecated:true){name description isDeprecated deprecationReason}possibleTypes{...TypeRef}}fragment InputValue on __InputValue{name description type{...TypeRef}defaultValue}fragment TypeRef on __Type{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name}}}}}}}}
query IntrospectionQuery{__schema{queryType{name}mutationType{name}subscriptionType{name}types{...FullType}directives{name description args{...InputValue}onOperation onFragment onField}}}fragment FullType on __Type{kind name description fields(includeDeprecated:true){name description args{...InputValue}type{...TypeRef}isDeprecated deprecationReason}inputFields{...InputValue}interfaces{...TypeRef}enumValues(includeDeprecated:true){name description isDeprecated deprecationReason}possibleTypes{...TypeRef}}fragment InputValue on __InputValue{name description type{...TypeRef}defaultValue}fragment TypeRef on __Type{kind name ofType{kind name ofType{kind name ofType{kind name}}}}

测试效果如下,只需一次请求就可列出对象和字段。

image.png

工具的效果如下:

image.png

在实际使用过程中,常常需要修改脚本,修改post的参数名称以及返回结果的参数名,使之与实际请求结果相对应,若有登陆态校验,则还需要添加cookie,这一块脚本有待改进,有时间就造一个顺手的轮子。

至于嵌套查询导致ddos,在实际挖掘中暂时没有碰到,具体介绍可以参考freebuf的《GraphQL安全指北》这篇文章。

已经造完了

实现很简单,把上一个项目生成html的函数抠出来,再自己重写一个发送payload的请求的函数,避免修改请求头和cookie的麻烦,至于原来项目硬编码取返回包data参数导致有些情况下无法使用的问题,我添加了一个-d参数来解决,即当返回结果不是data参数时,可以指定参数名。

项目地址:https://github.com/deenrookie/x-graphql

参考

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏运维之美

MacOS 终端利器 iTerm 2 曝严重安全漏洞,至少存在 7 年(含 PoC 视频)

近日,由 Mozilla 开源支持计划 (MOSS) 资助、网络安全公司 Radically Open Security (ROS) 开展的一次独立安全审计结果...

14210
来自专栏云鼎实验室的专栏

腾讯安全打造真实云端攻防战 GeekPwn 云安全挑战赛0ops摘冠

由腾讯安全云鼎实验室联合GeekPwn发起的 全球首个基于真实通用云环境的云安全挑战赛 今天下午正式结束。 ? 来自紫荆花、复旦白泽、0ops、AAA、Nu1...

16940
来自专栏FreeBuf

安全基线,让合规更直观

10月7日,爱尔兰数据保护委员会(Data Protection Commission)的一名发言人周一表示,该机构已经结束了针对Facebook旗下Whats...

10920
来自专栏腾讯安全

关于漏洞的对抗,TK教主给出最新解决思路 | 科学咖啡馆

这所坐落在中科院物理所的“科学咖啡馆”,夹带着学术气息,成为学术与技术的交流窗口,汇聚众多大咖在此碰撞思想上的“火花”,而TK教主于旸就是其中之一。

9730
来自专栏FreeBuf

如何通过macOS的磁盘管理工具实现系统提权

近期,ZDI的研究人员“ccpwd”在一个名叫“diskmanagementd”的macOS守护进程中,发现了一个基于堆的缓冲区溢出漏洞。diskmanagem...

10020
来自专栏FreeBuf

29个国家使用的SIM卡容易受到Simjacker攻击

在此之前,我们曾分析过SIM卡中的一个安全漏洞,这个漏洞名叫Simjacker,而就在最近,Adaptive Mobile的研究人员(SimJacker的发现者...

11830
来自专栏绿盟科技安全情报

【漏洞预警更新】Weblogic反序列化远程代码执行漏洞(CVE-2019-2725)处置手册

4月17日,国家信息安全漏洞共享平台(CNVD)公开了Weblogic反序列化远程代码执行漏洞(CNVD-C-2019-48814),此漏洞存在于weblogi...

10910
来自专栏云鼎实验室的专栏

“高危”!腾讯发现云虚拟化平台逃逸漏洞

随着云技术的快速发展和迭代更新,各行各业都在“云”中快速成长,安全性显得尤为重要。而云时代软硬件的“云交互”,对安全来说也意味着新的挑战。 近日,腾讯Blad...

16340
来自专栏绿盟科技安全情报

【漏洞预警】Weblogic wls9-async反序列化远程代码执行漏洞处置手册V2.2

4月17日,国家信息安全漏洞共享平台(CNVD)公开了Weblogic反序列化远程代码执行漏洞(CNVD-C-2019-48814),此漏洞存在于weblogi...

11130

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励