GraphQL
Uvod
GraphQL je istican kao efikasna alternativa REST API-ju, nudeći pojednostavljen pristup za upitivanje podataka sa backend-a. Za razliku od REST-a, koji često zahteva brojne zahteve na različitim endpoint-ima za prikupljanje podataka, GraphQL omogućava dobijanje svih potrebnih informacija putem jednog zahteva. Ovo pojednostavljenje značajno koristi developerima smanjujući složenost njihovih procesa dobijanja podataka.
GraphQL i Bezbednost
Sa pojavom novih tehnologija, uključujući GraphQL, pojavljuju se i nove bezbednosne ranjivosti. Ključna stvar koju treba imati na umu je da GraphQL ne uključuje mehanizme autentifikacije po default-u. Odgovornost je developera da implementiraju takve bezbednosne mere. Bez odgovarajuće autentifikacije, GraphQL endpoint-i mogu otkriti osetljive informacije neautentifikovanim korisnicima, predstavljajući značajan bezbednosni rizik.
Napadi Brute Force na Direktorijume i GraphQL
Da bi se identifikovali izloženi GraphQL instance, preporučuje se uključivanje određenih putanja u napade brute force na direktorijume. Ove putanje su:
/graphql/graphiql/graphql.php/graphql/console/api/api/graphql/graphql/api/graphql/graphql
Identifikacija otvorenih GraphQL instanci omogućava pregled podržanih upita. To je ključno za razumevanje podataka dostupnih putem endpoint-a. GraphQL-ov sistem introspekcije olakšava ovo detaljisanjem upita koje šema podržava. Za više informacija o ovome, pogledajte GraphQL dokumentaciju o introspekciji: GraphQL: A query language for APIs.
Fingerprint
Alat graphw00f je sposoban da otkrije koji GraphQL engine se koristi na serveru i zatim ispisuje neke korisne informacije za bezbednosnog revizora.
Univerzalni upiti
Da biste proverili da li je URL GraphQL servis, može se poslati univerzalni upit, query{__typename}. Ako odgovor uključuje {"data": {"__typename": "Query"}}, potvrđuje da URL hostuje GraphQL endpoint. Ovaj metod se oslanja na GraphQL-ovo polje __typename, koje otkriva tip upitanog objekta.
Osnovna enumeracija
GraphQL obično podržava GET, POST (x-www-form-urlencoded) i POST(json). Iako je radi sigurnosti preporučljivo dozvoliti samo json kako bi se sprečili CSRF napadi.
Introspekcija
Da biste koristili introspekciju za otkrivanje informacija o šemi, upitajte polje __schema. Ovo polje je dostupno na korenskom tipu svih upita.
Sa ovim upitom pronaći ćete ime svih tipova koji se koriste:
Sa ovim upitom možete izvući sve tipove, njihova polja i argumente (i tip argumenata). Ovo će biti vrlo korisno da biste znali kako da upitate bazu podataka.
Greške
Interesantno je znati da li će greške biti prikazane jer će doprineti korisnim informacijama.
Nabrajanje šeme baze podataka putem introspekcije
Ako je omogućena introspekcija, ali gornji upit ne uspe, pokušajte ukloniti direktive onOperation, onFragment i onField iz strukture upita.
Inline upit za introspekciju:
Poslednja linija koda je graphql upit koji će izbaciti sve metainformacije iz graphql-a (imena objekata, parametri, tipovi...)
Ako je omogućena introspekcija, možete koristiti GraphQL Voyager da biste videli u GUI-u sve opcije.
Upitovanje
Sada kada znamo koje vrste informacija su sačuvane u bazi podataka, pokušajmo izvući neke vrednosti.
U introspekciji možete pronaći koji objekat možete direktno upitati (jer ne možete upitati objekat samo zato što postoji). Na sledećoj slici možete videti da se "queryType" zove "Query" i da je jedno od polja objekta "Query" "flags", koji je takođe tip objekta. Stoga možete upitati objekat zastave.
Imajte na umu da je tip upita "flags" "Flags", a ovaj objekat je definisan na sledeći način:
Možete videti da su objekti "Flags" sastavljeni od imena i vrednosti. Zatim možete dobiti sva imena i vrednosti zastava upitom:
Imajte na umu da u slučaju da je objekat za upit primitivan tip poput stringa kao u sledećem primeru
Možete ga jednostavno upitati sa:
U još jednom primeru gde su postojala 2 objekta unutar "Query" tipa objekta: "user" i "users". Ako ovi objekti ne zahtevaju nikakav argument za pretragu, mogli biste dobiti sve informacije iz njih samo tražeći podatke koje želite. U ovom primeru sa Interneta mogli biste izvući sačuvane korisničke imene i lozinke:
Međutim, u ovom primeru, ako pokušate to uraditi, dobićete ovu grešku:
Izgleda da će pretraga koristiti "uid" argument tipa Int.
U svakom slučaju, već smo znali da je u odeljku Osnovna enumeracija predložen upit koji nam je pokazivao sve potrebne informacije: query={__schema{types{name,fields{name, args{name,description,type{name, kind, ofType{name, kind}}}}}}}
Ako pročitate priloženu sliku kada pokrenete taj upit, videćete da je "user" imao arg "uid" tipa Int.
Dakle, vršeći neki lagani uid brute force, otkrio sam da je u uid=1 dobijeno korisničko ime i lozinka:
query={user(uid:1){user,password}}
Imajte na umu da sam otkrio da mogu tražiti parametre "user" i "password" jer ako pokušam da pronađem nešto što ne postoji (query={user(uid:1){noExists}}) dobijam ovu grešku:
I tokom faze enumeracije otkrio sam da je objekat "dbuser" imao polja "user" i "password.
Triks za ispuštanje upita niske (zahvaljujući @BinaryShadow_)
Ako možete pretraživati po tipu niske, kao što je: query={theusers(description: ""){username,password}} i tražite prazan string, ispuštaće sve podatke. (Napomena: ovaj primer nije povezan sa primerom iz tutorijala, za ovaj primer pretpostavite da možete pretraživati koristeći "theusers" po polju tipa String nazvanom "description").
Pretraga
U ovom okruženju, baza podataka sadrži osobe i filmove. Osobe su identifikovane svojim emailom i imenom; filmovi po njihovom imenom i ocenom. Osobe mogu biti prijatelji jedni sa drugima i takođe imati filmove, što ukazuje na odnose unutar baze podataka.
Možete pretraživati osobe po imenu i dobiti njihove emaile:
Možete pretraživati osobe po imenu i dobiti njihove pretplaćene filmove:
Primetite kako je naznačeno da se dobije name subscribedMovies osobe.
Takođe možete pretraživati više objekata istovremeno. U ovom slučaju, pretražuju se 2 filma:
Ili čak odnosi nekoliko različitih objekata korišćenjem aliasa:
Mutacije
Mutacije se koriste za pravljenje promena na serverskoj strani.
U introspekciji možete pronaći deklarisane mutacije. Na sledećoj slici "MutationType" se naziva "Mutation" i objekat "Mutation" sadrži imena mutacija (kao što je "addPerson" u ovom slučaju):
U ovom postavci, baza podataka sadrži osobe i filmove. Osobe su identifikovane njihovim emailom i imenom; filmovi po njihovom imenom i ocenom. Osobe mogu biti prijatelji jedni sa drugima i takođe imati filmove, što ukazuje na odnose unutar baze podataka.
Mutacija za kreiranje novih filmova unutar baze podataka može izgledati ovako (u ovom primeru mutacija se zove addMovie):
Obratite pažnju kako su i vrednosti i tipovi podataka naznačeni u upitu.
Dodatno, baza podataka podržava operaciju mutacije, nazvanu addPerson, koja omogućava kreiranje osoba zajedno sa njihovim povezivanjem sa postojećim prijateljima i filmovima. Važno je napomenuti da prijatelji i filmovi moraju već postojati u bazi podataka pre nego što budu povezani sa novostvorenom osobom.
Preopterećenje direktive
Kao što je objašnjeno u jednoj od ranjivosti opisanih u ovom izveštaju, preopterećenje direktive podrazumeva poziv direktive čak i milione puta kako bi server trošio operacije dok nije moguće izvršiti DoS napad.
Grubo silovanje u 1 API zahtevu
Ove informacije su preuzete sa https://lab.wallarm.com/graphql-batching-attack/. Autentifikacija putem GraphQL API-a sa istovremenim slanjem mnogo upita sa različitim pristupnim podacima radi provere. To je klasičan napad grubom silom, ali sada je moguće poslati više od jednog parova korisničko ime/lozinka po HTTP zahtevu zbog mogućnosti grupisanja u GraphQL-u. Ovaj pristup bi prevario spoljne aplikacije za praćenje stope uveravajući ih da je sve u redu i da nema bota koji pokušava da pogodi lozinke.
Ispod možete pronaći najjednostavniju demonstraciju zahteva za autentifikaciju aplikacije, sa 3 različita para email/lozinka istovremeno. Očigledno je moguće poslati hiljade u jednom zahtevu na isti način:
Kao što možemo videti sa snimka odgovora, prvi i treći zahtevi vratili su null i odražavali odgovarajuće informacije u odeljku error. Druga mutacija je imala tačne autentifikacione podatke i odgovor je imao tačan autentifikacioni token sesije.
GraphQL Bez introspekcije
Sve više graphql endpointa onemogućava introspekciju. Međutim, greške koje graphql baca kada primi neočekivan zahtev su dovoljne za alate poput clairvoyance da rekonstruišu veći deo šeme.
Osim toga, Burp Suite ekstenzija GraphQuail prati GraphQL API zahteve koji prolaze kroz Burp i gradi internu GraphQL šemu sa svakim novim upitom koji vidi. Takođe može otkriti šemu za GraphiQL i Voyager. Ekstenzija vraća lažni odgovor kada primi introspekcijski upit. Kao rezultat, GraphQuail prikazuje sve upite, argumente i polja dostupna za korišćenje unutar API-ja. Za više informacija proverite ovo.
Lep wordlist za otkrivanje GraphQL entiteta može se pronaći ovde.
Zaobilaženje odbrana introspekcije GraphQL-a
Zaobilaženje Odbrana Introspekcije GraphQL-a
Da bi se zaobišle restrikcije na introspekcijske upite u API-ima, ubacivanje specijalnog karaktera nakon ključne reči __schema pokazuje se efikasnim. Ovaj metod iskorišćava uobičajene propuste programera u regex obrascima koji ciljaju blokiranje introspekcije fokusirajući se na ključnu reč __schema. Dodavanjem karaktera poput razmaka, novih linija i zareza, koje GraphQL ignoriše ali možda nisu uzete u obzir u regex-u, restrikcije mogu biti zaobiđene. Na primer, introspekcijski upit sa novom linijom nakon __schema može zaobići takve odbrane:
Ako ne uspete, razmotrite alternativne metode zahteva, poput GET zahteva ili POST sa x-www-form-urlencoded, jer se ograničenja mogu odnositi samo na POST zahteve.
Otkrivanje izloženih GraphQL struktura
Kada je introspekcija onemogućena, ispitivanje izvornog koda veb sajta radi unapred učitanih upita u JavaScript bibliotekama korisna je strategija. Ovi upiti mogu se pronaći koristeći karticu Sources u alatkama za razvoj, pružajući uvide u šemu API-ja i otkrivajući potencijalno izložene osetljive upite. Komande za pretragu unutar alatki za razvoj su:
CSRF u GraphQL-u
Ako ne znate šta je CSRF, pročitajte sledeću stranicu:
pageCSRF (Cross Site Request Forgery)Možete pronaći nekoliko GraphQL endpointa konfigurisanih bez CSRF tokena.
Imajte na umu da se GraphQL zahtevi obično šalju putem POST zahteva koristeći Content-Type application/json.
Međutim, većina GraphQL krajnjih tačaka takođe podržava form-urlencoded POST zahteve:
Dakle, pošto se CSRF zahtevi poput prethodnih šalju bez prethodnih zahteva za pretpostavljanje, moguće je izvršiti promene u GraphQL-u zloupotrebom CSRF-a.
Međutim, imajte na umu da je nova podrazumevana vrednost kolačića za samesite zastavicu u Chrome-u Lax. To znači da će kolačić biti poslat samo sa veb strane treće strane u GET zahtevima.
Imajte na umu da je obično moguće poslati upit zahtev takođe kao GET zahtev i CSRF token možda neće biti validiran u GET zahtevu.
Takođe, zloupotrebom XS-Search napada moguće je eksfiltrirati sadržaj sa GraphQL endpointa zloupotrebom korisničkih podataka.
Za više informacija proverite originalni post ovde.
Autorizacija u GraphQL-u
Mnoge GraphQL funkcije definisane na endpointu mogu proveravati samo autentifikaciju zahtevaoca, ali ne i autorizaciju.
Izmena ulaznih promenljivih upita može dovesti do otkrivanja osetljivih detalja naloga leaked.
Mutacija čak može dovesti do preuzimanja naloga pokušavajući da se izmene podaci drugog naloga.
Bypass autorizacije u GraphQL-u
Povezivanje upita zajedno može zaobići slab sistem autentikacije.
U donjem primeru možete videti da je operacija "forgotPassword" i da bi trebalo da izvrši samo upit forgotPassword koji je s njim povezan. Ovo se može zaobići dodavanjem upita na kraju, u ovom slučaju dodajemo "register" i korisničku promenljivu da se sistem registruje kao novi korisnik.
Zaobilaženje ograničenja brzine korišćenjem aliasa u GraphQL-u
U GraphQL-u, aliasi su moćna funkcija koja omogućava eksplicitno imenovanje svojstava prilikom slanja zahteva API-ju. Ova mogućnost je posebno korisna za dobijanje više instanci istog tipa objekta u jednom zahtevu. Aliasima se može prevazići ograničenje koje sprečava GraphQL objekte da imaju više svojstava sa istim imenom.
Za detaljnije razumevanje GraphQL aliasa, preporučuje se sledeći resurs: Alias.
Iako je primarni cilj aliasa smanjenje potrebe za brojnim API pozivima, identifikovan je neplanirani slučaj upotrebe gde se aliasi mogu iskoristiti za izvođenje napada grubom silom na GraphQL endpoint. Ovo je moguće jer su neki endpointovi zaštićeni limitatorima brzine dizajniranim da spreče napade grubom silom ograničavanjem broja HTTP zahteva. Međutim, ovi limitatori brzine možda ne uzimaju u obzir broj operacija unutar svakog zahteva. S obzirom na to da aliasi omogućavaju uključivanje više upita u jedan HTTP zahtev, mogu zaobići takve mere ograničenja brzine.
Razmotrite donji primer, koji ilustruje kako se aliasovani upiti mogu koristiti za proveru validnosti kodova popusta u prodavnici. Ovaj metod bi mogao zaobići ograničenje brzine jer kompajlira nekoliko upita u jedan HTTP zahtev, što potencijalno omogućava proveru brojnih kodova popusta istovremeno.
Alati
Skeneri ranjivosti
https://github.com/gsmith257-cyber/GraphCrawler: Toolkit koji se može koristiti za preuzimanje šema i pretragu osetljivih podataka, testiranje autorizacije, brute force šema i pronalaženje putanja do određenog tipa.
https://blog.doyensec.com/2020/03/26/graphql-scanner.html: Može se koristiti samostalno ili kao Burp ekstenzija.
https://github.com/swisskyrepo/GraphQLmap: Može se koristiti kao CLI klijent takođe za automatizaciju napada.
https://gitlab.com/dee-see/graphql-path-enum: Alat koji nabraja različite načine dostizanja određenog tipa u GraphQL šemi.
https://github.com/doyensec/inql: Burp ekstenzija za napredno testiranje GraphQL-a. Skener je srž InQL v5.0, gde možete analizirati GraphQL endpoint ili lokalni introspekcijski fajl šeme. Automatski generiše sve moguće upite i mutacije, organizujući ih u strukturiran prikaz za vašu analizu. Komponenta Napadač vam omogućava pokretanje grupnih GraphQL napada, što može biti korisno za zaobilazak loše implementiranih ograničenja brzine.
Klijenti
https://github.com/graphql/graphiql: Grafički klijent
https://altair.sirmuel.design/: Grafički klijent
Automatski testovi
Video koji objašnjava AutoGraphQL: https://www.youtube.com/watch?v=JJmufWfVvyU
Reference
Last updated
