GraphQL
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
GraphQL inasisitizwa kama mbadala mzuri kwa REST API, ikitoa njia rahisi ya kuuliza data kutoka kwa backend. Kinyume na REST, ambayo mara nyingi inahitaji maombi mengi kupitia maeneo tofauti ili kukusanya data, GraphQL inaruhusu upatikanaji wa taarifa zote zinazohitajika kupitia ombio moja. Hii inarahisisha sana wanakuza kwa kupunguza ugumu wa michakato yao ya upatikanaji wa data.
Kwa kuibuka kwa teknolojia mpya, ikiwa ni pamoja na GraphQL, udhaifu mpya wa usalama pia unatokea. Jambo muhimu la kuzingatia ni kwamba GraphQL haina mifumo ya uthibitishaji kwa default. Ni jukumu la waendelezaji kutekeleza hatua hizo za usalama. Bila uthibitishaji sahihi, maeneo ya GraphQL yanaweza kufichua taarifa nyeti kwa watumiaji wasio na uthibitisho, na kuleta hatari kubwa ya usalama.
Ili kubaini mifano ya GraphQL iliyofichuliwa, ni mapendekezo kuingiza njia maalum katika mashambulizi ya directory brute force. Njia hizi ni:
/graphql
/graphiql
/graphql.php
/graphql/console
/api
/api/graphql
/graphql/api
/graphql/graphql
Kugundua mifano ya GraphQL iliyo wazi kunaruhusu uchambuzi wa maswali yanayoungwa mkono. Hii ni muhimu kwa kuelewa data inayopatikana kupitia eneo hilo. Mfumo wa uchunguzi wa GraphQL unarahisisha hili kwa kuelezea maswali ambayo muundo unasaidia. Kwa maelezo zaidi kuhusu hili, rejelea nyaraka za GraphQL kuhusu uchunguzi: GraphQL: A query language for APIs.
Zana graphw00f ina uwezo wa kugundua ni injini gani ya GraphQL inayotumika kwenye seva na kisha kuchapisha taarifa muhimu kwa mkaguzi wa usalama.
Ili kuangalia kama URL ni huduma ya GraphQL, ombio la ulimwengu, query{__typename}
, linaweza kutumwa. Ikiwa jibu linajumuisha {"data": {"__typename": "Query"}}
, inathibitisha kuwa URL ina eneo la GraphQL. Njia hii inategemea uwanja wa GraphQL __typename
, ambao unaonyesha aina ya kitu kilichoulizwa.
Graphql kwa kawaida inasaidia GET, POST (x-www-form-urlencoded) na POST(json). Ingawa kwa usalama inashauriwa kuruhusu tu json ili kuzuia mashambulizi ya CSRF.
Ili kutumia introspection kugundua taarifa za schema, uliza uwanja wa __schema
. Uwanja huu upo kwenye aina ya mzizi ya maswali yote.
Kwa hii swali utaweza kupata jina la aina zote zinazotumika:
Kwa hii query unaweza kutoa aina zote, mashamba yake, na hoja zake (na aina ya hoja). Hii itakuwa muhimu sana kujua jinsi ya kuhoji hifadhidata.
Makosa
Ni ya kuvutia kujua kama makosa yataonyeshwa kwani yatatoa habari muhimu.
Kukadiria Muundo wa Hifadhidata kupitia Introspection
Ikiwa introspection imewezeshwa lakini swali hapo juu halifanyi kazi, jaribu kuondoa mwelekeo wa onOperation
, onFragment
, na onField
kutoka kwa muundo wa swali.
Uchunguzi wa ndani wa swali:
The last code line is a graphql query that will dump all the meta-information from the graphql (objects names, parameters, types...)
If introspection is enabled you can use GraphQL Voyager to view in a GUI all the options.
Sasa kwamba tunajua ni aina gani ya taarifa zimehifadhiwa ndani ya database, hebu jaribu kuchukua baadhi ya thamani.
Katika introspection unaweza kupata ni kitu gani unaweza kuuliza moja kwa moja (kwa sababu huwezi kuuliza kitu tu kwa sababu kinakuwepo). Katika picha ifuatayo unaweza kuona kwamba "queryType" inaitwa "Query" na kwamba moja ya maeneo ya kitu cha "Query" ni "flags", ambayo pia ni aina ya kitu. Hivyo unaweza kuuliza kitu cha bendera.
Note that the type of the query "flags" is "Flags", and this object is defined as below:
You can see that the "Flags" objects are composed by name and .value Then you can get all the names and values of the flags with the query:
Kumbuka kwamba ikiwa kitu cha kuuliza ni aina ya msingi kama string kama katika mfano ufuatao
Unaweza tu kuuliza kwa:
Katika mfano mwingine ambapo kulikuwa na vitu 2 ndani ya kitu cha "Query": "user" na "users". Ikiwa vitu hivi havihitaji hoja yoyote kutafuta, unaweza kupata taarifa zote kutoka kwavyo kwa kuomba tu data unayotaka. Katika mfano huu kutoka Mtandao unaweza kutoa majina ya watumiaji na nywila zilizohifadhiwa:
Hata hivyo, katika mfano huu ikiwa unajaribu kufanya hivyo unapata kosa hili:
Inaonekana kwa namna fulani itatafuta kwa kutumia hoja ya "uid" ya aina Int.
Hata hivyo, tayari tulijua kwamba, katika sehemu ya Basic Enumeration ulipendekezwa uchunguzi ambao ulionyesha taarifa zote muhimu: query={__schema{types{name,fields{name, args{name,description,type{name, kind, ofType{name, kind}}}}}}}
Ikiwa utasoma picha iliyotolewa wakati ninapokimbia uchunguzi huo utaona kwamba "user" alikuwa na arg "uid" ya aina Int.
Hivyo, kwa kufanya uid bruteforce kidogo niligundua kwamba katika uid=1 jina la mtumiaji na nywila vilipatikana:
query={user(uid:1){user,password}}
Kumbuka kwamba niligundua kuwa naweza kuomba vigezo "user" na "password" kwa sababu ikiwa nitajaribu kutafuta kitu ambacho hakipo (query={user(uid:1){noExists}}
) napata kosa hili:
Na wakati wa awamu ya uainishaji niligundua kwamba kitu cha "dbuser" kilikuwa na kama maeneo "user" na "password.
Hila ya kutupa mfuatano wa uchunguzi (shukrani kwa @BinaryShadow_)
Ikiwa unaweza kutafuta kwa aina ya mfuatano, kama: query={theusers(description: ""){username,password}}
na unafanya uchunguzi wa mfuatano tupu itatoa data zote. (Kumbuka mfano huu hauhusiani na mfano wa mafunzo, kwa mfano huu dhani unaweza kutafuta kwa kutumia "theusers" kwa uwanja wa Mfuatano unaoitwa "description").
Katika mpangilio huu, hifadhidata ina watu na filamu. Watu wanatambulika kwa barua pepe na jina; filamu kwa jina na ukadiriaji. Watu wanaweza kuwa marafiki na kila mmoja na pia wana filamu, wakionyesha uhusiano ndani ya hifadhidata.
Unaweza kutafuta watu kwa jina na kupata barua zao za pepe:
Unaweza kutafuta watu kwa jina na kupata filamu zao zilizosajiliwa:
Note jinsi inavyoonyeshwa kupata name
ya subscribedMovies
ya mtu.
Unaweza pia kutafuta vitu vingi kwa wakati mmoja. Katika kesi hii, utafutaji wa sinema 2 unafanywa:
Au hata uhusiano wa vitu tofauti kadhaa kwa kutumia majina mbadala:
Mabadiliko yanatumika kufanya mabadiliko katika upande wa seva.
Katika introspection unaweza kupata mabadiliko iliyotangazwa. Katika picha ifuatayo "MutationType" inaitwa "Mutation" na kitu cha "Mutation" kina majina ya mabadiliko (kama "addPerson" katika kesi hii):
Katika mpangilio huu, database ina watu na filamu. Watu wanatambulishwa kwa barua pepe zao na jina; filamu kwa jina na kadirio. Watu wanaweza kuwa marafiki na kila mmoja na pia wana filamu, ikionyesha uhusiano ndani ya database.
Mabadiliko ya kuunda mpya filamu ndani ya database yanaweza kuwa kama ifuatavyo (katika mfano huu mabadiliko yanaitwa addMovie
):
Kumbuka jinsi thamani na aina ya data zinavyoonyeshwa katika uchunguzi.
Zaidi ya hayo, hifadhidata inasaidia operesheni ya mutation, inayoitwa addPerson
, ambayo inaruhusu uundaji wa persons pamoja na uhusiano wao na friends na movies zilizopo. Ni muhimu kutambua kwamba marafiki na filamu lazima ziwepo katika hifadhidata kabla ya kuziunganisha na mtu mpya aliyeundwa.
Kama ilivyoelezwa katika moja ya vulns zilizoelezwa katika ripoti hii, overload ya directive inamaanisha kuita directive hata mara milioni ili kufanya server itumie operesheni hadi iwezekane kuifanya DoS.
Taarifa hii ilichukuliwa kutoka https://lab.wallarm.com/graphql-batching-attack/. Uthibitishaji kupitia GraphQL API kwa kutuma maswali mengi kwa wakati mmoja na akidi tofauti ili kuyakagua. Ni shambulio la kawaida la brute force, lakini sasa inawezekana kutuma zaidi ya jozi moja ya login/password kwa kila ombi la HTTP kwa sababu ya kipengele cha batching cha GraphQL. Njia hii itawadanganya programu za ufuatiliaji wa kiwango cha nje kufikiria kila kitu kiko sawa na hakuna bot ya brute-forcing inayojaribu kukisia nywila.
Hapa chini unaweza kupata onyesho rahisi la ombi la uthibitishaji wa programu, na jozi 3 tofauti za barua pepe/nywila kwa wakati mmoja. Kwa wazi inawezekana kutuma maelfu katika ombi moja kwa njia ile ile:
Kama tunavyoona kutoka kwenye picha ya majibu, maombi ya kwanza na ya tatu yalirudisha null na kuonyesha habari zinazohusiana katika sehemu ya error. Mabadiliko ya pili yalikuwa na data sahihi ya uthibitishaji na jibu lina token sahihi ya kikao cha uthibitishaji.
Zaidi na zaidi mipaka ya graphql inazima introspection. Hata hivyo, makosa ambayo graphql inatoa wakati ombi lisilotarajiwa linapokea yanatosha kwa zana kama clairvoyance kuunda sehemu kubwa ya schema.
Zaidi ya hayo, nyongeza ya Burp Suite GraphQuail inasimamia maombi ya GraphQL API yanayopita kupitia Burp na kujenga schema ya ndani ya GraphQL na kila swali jipya inaloona. Inaweza pia kufichua schema kwa GraphiQL na Voyager. Nyongeza inarudisha jibu bandia inapopokea ombi la introspection. Kama matokeo, GraphQuail inaonyesha maswali yote, hoja, na maeneo yanayopatikana kwa matumizi ndani ya API. Kwa maelezo zaidi angalia hii.
Orodha nzuri ya maneno kugundua vitu vya GraphQL inaweza kupatikana hapa.
Ili kupita vizuizi kwenye maombi ya introspection katika APIs, kuingiza herufi maalum baada ya neno la __schema
kunaonekana kuwa na ufanisi. Njia hii inatumia makosa ya kawaida ya waendelezaji katika mifumo ya regex ambayo inakusudia kuzuia introspection kwa kuzingatia neno la __schema
. Kwa kuongeza herufi kama nafasi, mistari mipya, na alama za koma, ambazo GraphQL inapuuzilia mbali lakini huenda hazijazingatiwa katika regex, vizuizi vinaweza kupitishwa. Kwa mfano, ombi la introspection lenye mstari mpya baada ya __schema
linaweza kupita ulinzi kama huo:
Ikiwa haifanikiwi, fikiria mbinu mbadala za ombi, kama vile GET requests au POST na x-www-form-urlencoded
, kwani vizuizi vinaweza kuathiri tu ombi za POST.
Kama ilivyotajwa katika hili mazungumzo, angalia kama inaweza kuwa inawezekana kuungana na graphQL kupitia WebSockets kwani hiyo inaweza kukuruhusu kupita WAF inayoweza kuwepo na kufanya mawasiliano ya websocket kuvuja muundo wa graphQL:
Wakati uchunguzi umezimwa, kuchunguza msimbo wa chanzo wa tovuti kwa maswali yaliyoandaliwa mapema katika maktaba za JavaScript ni mkakati mzuri. Maswali haya yanaweza kupatikana kwa kutumia kichupo cha Sources
katika zana za maendeleo, na kutoa maarifa kuhusu muundo wa API na kufichua maswali nyeti yaliyo wazi. Amri za kutafuta ndani ya zana za maendeleo ni:
Ikiwa hujui CSRF ni nini, soma ukurasa ufuatao:
CSRF (Cross Site Request Forgery)Nje huko utaweza kupata mwisho kadhaa wa GraphQL iliyowekwa bila token za CSRF.
Kumbuka kwamba maombi ya GraphQL kwa kawaida hutumwa kupitia maombi ya POST kwa kutumia Aina ya Maudhui application/json
.
Hata hivyo, sehemu nyingi za GraphQL pia zinasaidia form-urlencoded
POST requests:
Kwa hivyo, kama maombi ya CSRF kama yale ya awali yanatumwa bila maombi ya preflight, inawezekana kufanya mabadiliko katika GraphQL kwa kutumia CSRF.
Hata hivyo, kumbuka kwamba thamani mpya ya default ya cookie ya lippu ya samesite
ya Chrome ni Lax
. Hii inamaanisha kwamba cookie itatumwa tu kutoka kwa wavuti ya upande wa tatu katika maombi ya GET.
Kumbuka kwamba kawaida inawezekana kutuma maombi ya query pia kama maombi ya GET na tokeni ya CSRF inaweza isithibitishwe katika ombi la GET.
Pia, kutumia XS-Search shambulio inaweza kuwa inawezekana kutoa maudhui kutoka kwa kiunganishi cha GraphQL kwa kutumia akidi za mtumiaji.
Kwa maelezo zaidi angalia posti ya asili hapa.
Kama ilivyo na udhaifu wa CRSF unaotumia graphQL, pia inawezekana kufanya utekaji wa WebSocket wa tovuti tofauti ili kutumia uthibitishaji na GraphQL kwa kutumia cookies zisizo na ulinzi na kumfanya mtumiaji afanye vitendo visivyotarajiwa katika GraphQL.
Kwa maelezo zaidi angalia:
WebSocket AttacksMifumo mingi ya GraphQL iliyofafanuliwa kwenye kiunganishi inaweza kuangalia tu uthibitishaji wa mombaji lakini si uidhinishaji.
Kubadilisha vigezo vya ingizo la query kunaweza kusababisha maelezo nyeti ya akaunti kuvuja.
Mabadiliko yanaweza hata kusababisha kuchukuliwa kwa akaunti kwa kujaribu kubadilisha data za akaunti nyingine.
Kuunganisha maswali pamoja kunaweza kupita mfumo dhaifu wa uthibitishaji.
Katika mfano ulio hapa chini unaweza kuona kwamba operesheni ni "forgotPassword" na kwamba inapaswa kutekeleza tu swali la forgotPassword lililohusishwa nalo. Hii inaweza kupitishwa kwa kuongeza swali mwishoni, katika kesi hii tunaongeza "register" na kigezo cha mtumiaji ili mfumo ujiandikishe kama mtumiaji mpya.
Katika GraphQL, aliases ni kipengele chenye nguvu ambacho kinaruhusu kuitwa kwa mali kwa uwazi unapofanya ombi la API. Uwezo huu ni muhimu sana kwa kupata mfano mwingi wa aina moja ya kitu ndani ya ombi moja. Aliases zinaweza kutumika kushinda kikomo kinachozuia vitu vya GraphQL kuwa na mali nyingi zenye jina moja.
Kwa ufahamu wa kina wa aliases za GraphQL, rasilimali ifuatayo inapendekezwa: Aliases.
Ingawa kusudi kuu la aliases ni kupunguza hitaji la simu nyingi za API, matumizi yasiyokusudiwa yamegundulika ambapo aliases zinaweza kutumika kutekeleza mashambulizi ya nguvu ya kikatili kwenye kiunganishi cha GraphQL. Hii inawezekana kwa sababu baadhi ya viunganishi vinahifadhiwa na vikwazo vya kiwango vilivyoundwa kuzuia mashambulizi ya nguvu ya kikatili kwa kupunguza idadi ya maombi ya HTTP. Hata hivyo, vikwazo hivi vya kiwango vinaweza kutokuweka akilini idadi ya operesheni ndani ya kila ombi. Kwa kuwa aliases zinaruhusu kujumlisha maswali mengi katika ombi moja la HTTP, zinaweza kupita hatua za kupunguza kiwango kama hizo.
Fikiria mfano uliopewa hapa chini, unaoonyesha jinsi maswali yaliyo na alias yanaweza kutumika kuthibitisha uhalali wa nambari za punguzo za duka. Njia hii inaweza kupita mipaka ya kiwango kwani inakusanya maswali kadhaa katika ombi moja la HTTP, ikiruhusu kuthibitisha nambari nyingi za punguzo kwa wakati mmoja.
https://github.com/dolevf/graphql-cop: Jaribu makosa ya kawaida ya usanidi wa mwisho wa graphql
https://github.com/assetnote/batchql: Skripti ya ukaguzi wa usalama wa GraphQL yenye lengo la kufanya maswali na mabadiliko ya kundi la GraphQL.
https://github.com/dolevf/graphw00f: Tambua fingerprint ya graphql inayotumika
https://github.com/gsmith257-cyber/GraphCrawler: Zana inayoweza kutumika kukamata schemas na kutafuta data nyeti, kujaribu idhini, nguvu za kikatili schemas, na kupata njia za aina fulani.
https://blog.doyensec.com/2020/03/26/graphql-scanner.html: Inaweza kutumika kama standalone au Burp extension.
https://github.com/swisskyrepo/GraphQLmap: Inaweza kutumika kama mteja wa CLI pia kuendesha mashambulizi
https://gitlab.com/dee-see/graphql-path-enum: Zana inayoorodhesha njia tofauti za kufikia aina fulani katika schema ya GraphQL.
https://github.com/doyensec/GQLSpection: Mfuasi wa Standalone na CLI Modes ya InQL
https://github.com/doyensec/inql: Burp extension kwa ajili ya majaribio ya juu ya GraphQL. Scanner ni msingi wa InQL v5.0, ambapo unaweza kuchambua mwisho wa GraphQL au faili ya schema ya ndani ya eneo. Inajenga kiotomatiki maswali na mabadiliko yote yanayowezekana, ikiyapanga katika muonekano wa muundo kwa ajili ya uchambuzi wako. Kipengele cha Attacker kinakuruhusu kuendesha mashambulizi ya kundi la GraphQL, ambayo yanaweza kuwa ya manufaa kwa kukwepa mipaka ya kiwango iliyotekelezwa vibaya.
https://github.com/nikitastupin/clairvoyance: Jaribu kupata schema hata ikiwa uchambuzi umezimwa kwa kutumia msaada wa baadhi ya hifadhidata za Graphql ambazo zitapendekeza majina ya mabadiliko na vigezo.
https://github.com/graphql/graphiql: Mteja wa GUI
https://altair.sirmuel.design/: Mteja wa GUI
Video inayoelezea AutoGraphQL: https://www.youtube.com/watch?v=JJmufWfVvyU
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)