GraphQL渗透测试与防御指南

1. GraphQL基础概念

1.1 什么是GraphQL

GraphQL是一种API查询语言，旨在促进客户端和服务器之间的高效通信。它允许客户端精确指定响应中所需的数据，避免了REST API中常见的大型响应对象和多次调用问题。

1.2 GraphQL工作原理

GraphQL模式定义了服务数据的结构，包括：

• 类型(Types)：可用的对象类型
• 字段(Fields)：每个类型包含的字段
• 关系(Relationships)：类型之间的关联

1.3 GraphQL操作类型

1. 查询(Queries)：获取数据

   query {
     user(id: 1) {
       name
       email
     }
   }
   

2. 突变(Mutations)：添加、更改或删除数据

   mutation {
     updateUser(id: 1, name: "NewName") {
       id
       name
       email
     }
   }
   

3. 订阅(Subscriptions)：建立永久连接，服务器主动推送数据

   subscription {
     newMessage(channel: "chat") {
       content
       author
     }
   }
   

2. GraphQL渗透测试方法

2.1 测试流程

1. 了解GraphQL架构：分析目标应用的GraphQL模式
2. 枚举GraphQL端点：查找常见的GraphQL路径
3. 枚举GraphQL模式：通过内省查询获取类型和字段信息
4. 执行基本查询：理解数据模型和交互方式
5. 注入攻击测试：尝试SQL注入、NoSQL注入等
6. 敏感信息泄露测试：查找未保护的敏感数据
7. 测试突变和订阅操作：检查访问控制缺陷
8. 深度遍历和枚举：发现隐藏功能
9. 错误处理检测：分析错误消息获取敏感信息
10. 检查安全配置：验证身份验证和授权机制

2.2 常见GraphQL路径

/graphql
/graphql-console
/graphql-devtools
/graphql-explorer
/graphql-playground
/graphql.php
/graphql/console
/api/graphql
/v1/graphql
/v2/graphql
/graphiql
/graphiql.php

3. GraphQL安全漏洞与攻击技术

3.1 内省攻击(Introspection Attacks)

GraphQL的内省功能允许查询模式信息，可能泄露敏感数据：

# 基本内省查询
{
  __schema {
    types {
      name
      fields {
        name
      }
    }
  }
}

# 替代查询方式
query IntrospectionQuery {
  __schema {
    queryType { name }
    mutationType { name }
    types {
      ...FullType
    }
  }
}

防御措施：

• 限制或禁用内省功能
• 实施严格的访问控制
• 对生产环境禁用开发工具

3.2 绕过内省防御的方法

1. 枚举非标准GraphQL端点
2. 利用弱或默认配置
3. 绕过访问控制
4. 修改请求头或参数
5. 通过错误消息推断模式信息

3.3 实际攻击案例

案例1：登录爆破绕过API限制

1. 发现GraphQL登录端点
2. 构造批量登录查询绕过限制：

   bruteforce0:login(input:{password: "123456", username: "carlos"}) { token success }
   bruteforce1:login(input:{password: "password", username: "carlos"}) { token success }
   ...
   

3. 通过响应中的success字段判断密码是否正确

案例2：访问私有GraphQL帖子

1. 分析帖子查询请求，发现ID参数控制访问
2. 枚举ID值发现隐藏帖子(ID=3)
3. 查询postPassword字段获取访问凭证

案例3：暴露私有字段

1. 通过内省发现getUser查询
2. 构造查询获取用户敏感信息：

   query {
     getUser(id: 1) {
       id
       username
       password
     }
   }
   

案例4：查找隐藏端点

1. 手动测试/api/路径
2. 使用基本查询确认GraphQL存在：

   /api/?query=query{__typename}
   

3. 绕过内省过滤使用回车(%0a)分隔：

   /api/?query=query+IntrospectionQuery+{
   +__schema{
   +queryType+{+name+}
   +}
   +}
   

案例5：GraphQL CSRF攻击

1. 将JSON请求转换为x-www-form-urlencoded格式：

   query=
    mutation changeEmail($input: ChangeEmailInput {
      changeEmail(input: $input) {
        email
      }
    }
   &operationName=changeEmail
   &variables={"input":{"email":"attacker@example.com"}}
   

2. URL编码后构造CSRF攻击载荷

4. GraphQL安全防御措施

4.1 通用防御策略

1. 禁用生产环境内省：限制__schema和__type查询
2. 实施严格的访问控制：
   • 基于角色的访问控制(RBAC)
   • 字段级别的权限控制
3. 输入验证和过滤：
   • 限制查询深度和复杂度
   • 验证所有输入参数
4. 使用HTTPS加密通信
5. 定期更新GraphQL服务器和相关库

4.2 特定漏洞防御

1. 防止内省泄露：
   • 白名单允许的查询
   • 对敏感类型添加@deprecated理由
2. 防止暴力破解：
   • 实施请求速率限制
   • 使用CAPTCHA验证
3. 防止CSRF攻击：
   • 使用CSRF令牌
   • 限制application/json内容类型的跨域请求
4. 防止信息泄露：
   • 自定义错误消息
   • 禁用调试模式

4.3 安全配置建议

1. 查询成本分析：限制复杂查询的资源消耗
2. 查询白名单：在生产环境只允许预定义的查询
3. 深度限制：防止递归查询导致DoS
4. 日志和监控：记录所有GraphQL操作
5. API网关保护：在GraphQL前部署WAF

5. 渗透测试工具推荐

1. InQL：Burp Suite插件，用于GraphQL端点扫描和内省分析
2. GraphQL Playground：交互式GraphQL IDE，用于测试查询
3. Altair GraphQL Client：功能丰富的GraphQL客户端
4. GraphQLmap：GraphQL渗透测试工具
5. Clairvoyance：GraphQL模式重构工具

6. 总结

GraphQL虽然提供了灵活高效的API查询能力，但也引入了新的安全挑战。渗透测试人员应重点关注内省泄露、访问控制缺陷、注入漏洞和CSRF等问题。防御方面，建议采用深度防御策略，结合输入验证、访问控制、速率限制和持续监控等多种措施，确保GraphQL API的安全性。