Pentru cei care nu știu, GraphQL este un limbaj de interogare și runtime pentru API-uri dezvoltate de Facebook și este acum open-source (relief 😌).
Și, ca orice alt software, și GraphQL are propriile sale avantaje și dezavantaje.
Puteți ignora dezavantajele legate de caracteristici sau funcționalități. Dar dacă vă spun că există o listă de vulnerabilități în GraphQL?
Nu vă faceți griji. Există diverse instrumente care vă vor ajuta să găsiți și să remediați vulnerabilitățile de securitate GraphQL.
Dar înainte de a vă prezenta instrumentele, mai întâi, să aruncăm o privire la ce este GraphQL și care sunt vulnerabilitățile sale.
Cuprins
Ce este GraphQL?
Pentru a explica ce este GraphQL, imaginați-vă un scenariu; stai la un restaurant și comanzi prânzul.
Dar este posibil să nu doriți preparatul exact menționat în meniu. Uneori, poate doriți să includeți/eliminați unele ingrediente. Spuneți că sunteți alergic la nuci și doriți să personalizați mâncarea după cum doriți.
Gândiți-vă la GraphQL ca la un ospătar care vă personalizează mâncarea specificată și vă oferă exact ceea ce ați cerut, dar GraphQL funcționează pe datele de pe servere.
Folosind astfel de tehnologie, aplicațiile moderne vă pot obține date specifice care vă economisesc multă lățime de bandă și, de asemenea, îmbunătățesc experiența utilizatorului.
Citiți mai multe despre software-ul GraphQL de top.
Vulnerabilitățile GraphQL
Iată o listă cu potențialele liste de vulnerabilități care pot fi folosite de persoanele cu intenții întunecate de a încălca informații sensibile.
- Preluare excesivă și preluare insuficientă: această vulnerabilitate poate epuiza resursele serverului. Dacă instrucțiunile de preluare a datelor de la GraphQL sunt necorespunzătoare, vă poate duce la suprapreluare (obține mai multe date decât este cerut) sau subaducere (obține mai puține date decât a cerut și face utilizatorul să solicite date de mai multe ori).
- Expunerea excesivă a datelor: atunci când controlul accesului este configurat greșit, expune datele critice. Și dacă serverul permite accesul neautorizat, atunci orice hacker cu abilități suficiente poate încălca datele cu ușurință.
- Problemă cu interogările imbricate: în mod implicit, nu există o limită de complexitate, ceea ce vă permite să expediați interogări complexe. Acum gândiți-vă la mai multe interogări complexe imbricate care vor dobândi toate resursele sistemului, ceea ce duce la un răspuns lent și chiar la un potențial atac DOS (Denial Of Service).
- Injecții: GraphQL nu este altceva decât un limbaj de interogare cu intrare furnizată de utilizator, ceea ce înseamnă pur și simplu, dacă API-ul dvs. nu este sigur, poate fi injectat cu cod rău intenționat, iar baza de date, sistemul de fișiere și chiar rețeaua și sistemul de operare pot fi vizate.
- Bombe GraphQL: acestea au fost descoperite în august 2022 și afectează API-urile implementate Încărcări de fișiere GraphQL. Acesta este un atac DOS (Denial Of Service) care implică trimiterea multor solicitări HTTP către punctul final GraphQL.
- Anteturi HTTP configurate greșit: deși sună a nimic, credeți-mă, acest lucru poate provoca mult mai multe daune decât credeți. Dacă nu este configurat corespunzător, poate deschide porți pentru atacuri precum CSRF (Cross-Site Request Forgery), MIME sniffing, Man in the Middle atac și multe altele.
- Limitarea ratei este configurată greșit sau nu este configurată: limitarea ratei nu este altceva decât limitarea numărului de interogări pe care clientul le poate face într-un interval de timp specific. Și dacă nu este configurat, asta duce la o potențială amenințare DOS!
Sună înfricoșător? Nu-i aşa?
Acum voi împărtăși unele dintre cele mai bune instrumente pe care le puteți folosi pentru a găsi și remedia vulnerabilitățile GraphQL și pentru a vă securiza serverul. Iată un rezumat al instrumentelor pe care le vom discuta.
Caracteristici notabile ale produsuluiEscape GraphQL SecurityScanări rapide, riscuri reale, integrare cu instrumentele de dezvoltareScanerul Invici GraphQLScanează pentru diferite atacuri, protecție modernă împotriva atacurilorTestarea StackHawk GraphQLVerificări continue de vulnerabilitate, securitate automatăSecuritate BeagleTestare activă, integrare CI/CD, rapoarte detaliateGraphQL dot SecurityOpțiune gratuită, verificare endpoint, bază de date actualizatăTestarea stiloului Qualysec GraphQLOWASP Top 10 analiză, testare API dinamică/staticăScanare de securitate AppCheckTestare API, SPA și endpoint, suport Jira/TeamCitySinopsis Testarea securității APITestare continuă în fundal, cartografiere vizuală a defectelorTestare API Bright SecurityFocalizare pe microservicii, CLI, bazat pe SaaS, integrare CI/CD
Escape GraphQL Security
Evadare își construiește produsele ținând cont de dezvoltatori, iar verificatorul de securitate GeaphQL nu este diferit.
Fiind unul dintre puținii furnizori de servicii de securitate, puteți fi siguri că noua vulnerabilitate va fi scanată într-un moment.
Dar este mai mult:
- Este nevoie de aproximativ 60 de secunde pentru a începe prima scanare!
- Baza de date Escape a fost ținută la zi cu privire la vulnerabilități.
- Afișează riscuri reale, în loc să arate probleme care ar putea fi un risc.
- Integrare cu instrumentele preferate pentru dezvoltatori.
Deci, dacă sunteți în căutarea unei soluții rapide și ușoare pentru a verifica vulnerabilitatea GraohQL, Escape poate fi următoarea ta oprire.
Scanerul Invici GraphQL
Cunoscut anterior ca Netsparker, Inviciti este unul dintre cele mai de încredere și populare nume dintre API-urile de scanare.
Dar ceea ce un client vrea să știe este de câte tipuri de atacuri poate avea grijă, așa că iată o listă de atacuri severe și vulnerabilități care pot fi scanate cu acest produs:
- Injecție orb comandă
- Injectare SQL oarbă
- Injecție de comandă
- Executarea codului de la distanță
- Falsificarea cererii pe partea serverului
O soluție solidă pentru a fi salvată de atacurile moderne.
Testarea de securitate StackHawk GraphQL
Cea mai bună parte a utilizării Testarea GraphQL de la StackHawk Verifică toate vulnerabilitățile GraphQL la fiecare solicitare de extragere.
Și dacă această caracteristică cheie nu este suficientă pentru a vă câștiga inima, iată mai multe caracteristici interesante de la StackHawk:
- Testare automată de securitate.
- Testare și reparare fulgerătoare
- Interfață de utilizare ușoară
- Documentație magnifică pentru auto-fixare ușoară
Destul de la moda. Dreapta?
Securitate Beagle
Securitate Beagle este specializată în furnizarea de soluții automate de testare a securității aplicațiilor web și ajută companiile să identifice și să remedieze defectele de securitate.
Și cele patru caracteristici cheie le fac foarte speciali:
- Testare intensivă și activă
- Integrat cu CI/CD
- Rapoarte detaliate
- Sugestii de remediere detaliate de la experți în securitate
De asemenea, le puteți folosi Verificator gratuit de evaluare a site-ului web pentru a găsi vulnerabilități în site-ul dvs.
GraphQL dot Security (graphql.security)
Dacă sunteți în căutarea unei opțiuni gratuite și confortabil cu funcții limitate, atunci nu există nimic care să depășească oferta de la graphql.securitate.
Acesta este, de asemenea, un produs de la Evadare astfel încât să puteți fi sigur de testele și fiabilitatea acestora.
Și unele dintre caracteristicile cheie includ:
- Baza de date actualizată a Escape
- Nu este necesară înregistrarea
- Posibilitatea de a verifica punctul final cu un singur clic
- Serviciu gratuit
Așadar, dacă tocmai ați început cu afacerea dvs. online și aveți constrângeri bugetare, v-aș recomanda cu căldură să utilizați graph.security.
Testare de penetrare API Qualysec GraphQL
Qualysec oferă testare profesională de penetrare a API GraphQL și este un serviciu de evaluare a securității cibernetice, astfel încât să puteți descoperi vulnerabilități și să le remediați și să fiți sigur de toate problemele de securitate.
Și iată câteva caracteristici interesante pe care le oferă:
- Produs analizat pentru OWASP Top 10 GraphQL API Testing pentru a fi protejat împotriva celor mai comune amenințări.
- Testare dinamică API.
- Testare statică API.
- Analiza compoziției software.
În afară de caracteristicile de securitate, raportul lor pentru scanarea vulnerabilităților este remarcabil, deoarece include un raport de penetrare, un raport de retestare, o scrisoare de atestare și un certificat de securitate.
Scanare de securitate AppCheck
Appcheck vă oferă asistență completă pentru a testa API-urile, dar nu doar atât. Vine cu mai multe funcții, cum ar fi accesarea cu crawlere SPA, descoperirea punctelor finale și multe altele.
Dar este mai mult:
- Economisește timp cu un flux de lucru practic.
- Compatibil cu Jira, TeamCity și alte instrumente de dezvoltare.
- Descoperiți zero zile, plus peste 100.000 de defecte de securitate cunoscute și OWASP complet.
O listă destul de mare de caracteristici. Nu-i aşa?
Sinopsis Testarea securității API
Rezumat are un program de testare API care va descoperi automat punctele finale expuse ale aplicației dvs. și toate acestea vor rula în fundal continuu!
Încă nu este suficient pentru a te convinge? Iată câteva caracteristici mai uimitoare:
- Identifică defectele codului și datelor cu ajutorul cartografierii vizuale
- Descoperire automată vulnerabilă
- Evaluări ale amenințărilor și riscurilor
Testare API Bright Security
Securitate strălucitoare serviciile sunt proiectate pentru mediile moderne de microservicii și oferă o integrare perfectă cu fluxurile de lucru SDLC, CI/CD și git, astfel încât vulnerabilitățile să poată fi detectate cât mai ușor posibil.
Și iată câteva caracteristici cheie ale securității Bright:
- CLI convenabil pentru dezvoltatori
- 100% bazat pe SaaS
- Integrare CI/CD
- Vulnerabilități mapate la Top 10 de securitate OWASP API
Încheierea…
În acest tutorial, am explicat principalele vulnerabilități GraphQL și cele mai bune instrumente pentru a găsi vulnerabilități GraphQL și a le remedia.
Sper că veți găsi acest ghid de ajutor.
Ați putea fi, de asemenea, interesat să citiți despre GraphQL vs. REST API și când să utilizați care.