防止 GraphQL 攻击

admin 2024年12月5日21:17:57评论6 views字数 748阅读2分29秒阅读模式
防止 GraphQL 攻击

点击蓝字

关注我们

防止 GraphQL 攻击

始于理论,源于实践,终于实战

老付话安全,每天一点点

激情永无限,进步看得见

防止 GraphQL 攻击

严正声明

本号所写文章方法和工具只用于学习和交流,严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施,发生一切问题由相关个人承担法律责任,其与本号无关。

特此声明!!!

防止 GraphQL 攻击
  1. 在将 API 部署到生产环境时执行以下步骤:

  2. 禁用内省information功能,如需要启用内省功能,查看 API 的架构,以确保它不会向公众公开意外的字段。

  3. 禁用Suggestions,防止攻击者使用 Clairvoyance 或类似工具收集有关底层架构的信息。

  4. 正确实现授权鉴权逻辑:由于GraphQL多了中间层对查询语言进行语法解析等操作,加上其单路由形态,容易使开发者在不完全理解其特性和运行机制时,错误实现甚至忽略API调用时的授权鉴权行为。虽然GraphQL和RESTful API一样可将授权逻辑委托给业务逻辑层,但务必要对GraphQL中的各个Query和Mutation做好授权鉴权,防止攻击者非法请求到一些非预期接口,执行高危操作,例如查询所有用户的详细信息等。

  5. 限制 API 查询的查询深度。query depth” 是指查询中的嵌套级别数。高度嵌套的查询可能会对性能产生重大影响,如果接受这些查询,可能会为 DoS 攻击提供机会。通过限制 API 接受的查询深度,您可以降低发生这种情况的可能性。

  6. 配置操作限制。操作限制使您能够配置 API 可以接受的唯一字段、别名和根字段的最大数量。

  7. 配置查询可以包含的最大字节数。

  8. 使API仅接受通过 JSON 编码的 POST 进行的查询。

  9. 使API 验证提供的内容是否与提供的内容类型匹配。

  10. 使API 具有安全的 CSRF 令牌机制。

END

防止 GraphQL 攻击

老付

防止 GraphQL 攻击

欢迎扫码

关注我们

网络安全

防止 GraphQL 攻击
防止 GraphQL 攻击
防止 GraphQL 攻击

原文始发于微信公众号(老付话安全):防止 GraphQL 攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月5日21:17:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   防止 GraphQL 攻击https://cn-sec.com/archives/3468993.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息