9个用于查找和修复GraphQL安全漏洞的工具

对于不了解的人来说，graphql是facebook开发的一种用于api的查询语言和运行时，现在也是开源的（如释重负😌）。

和其他软件一样，graphql也有其优点和缺点。

你可以忽略与特性或功能相关的缺点。但是如果我告诉你graphql中存在一些漏洞，你会怎么样？

别担心。有各种工具可以帮助你发现和修复graphql的安全漏洞。

但是在介绍这些工具之前，让我们先看看graphql是什么以及它的漏洞是什么。

什么是graphql？

为了解释什么是graphql，想象一下这样一个场景：你坐在餐厅里点午餐。

但是你可能不想要菜单上明确提到的菜。有时候，你可能想要添加/删除一些配料。比如说，你对坚果过敏，想要按照自己的愿望定制食物。

把graphql想象成一个能够按照你指定的食物定制的服务员，但是graphql是在服务器数据上工作。

使用这样的技术，现代应用程序可以获取特定的数据，从而节省了大量的带宽，也提高了用户体验。

阅读更多关于 顶级graphql软件的信息。

graphql的漏洞

以下是一些潜在的漏洞列表，可以被具有不良意图的人用来突破敏感信息。

• 过度获取和不足获取：这种漏洞可以过度耗尽服务器资源。如果从graphql获取数据的指令不正确，可能会导致过度获取（获取比请求的数据更多）或者不足获取（获取比请求的数据更少，并且使用户多次请求数据）。
• 过度暴露数据：当访问控制配置错误时，会暴露关键数据。如果服务器允许未经授权的访问，那么任何具备足够技能的黑客都可以轻松突破数据。
• 嵌套查询问题：默认情况下，没有复杂性限制，这意味着您可以发送复杂的查询。现在想象一下多个复杂的嵌套查询将获取所有系统资源，导致响应变慢，甚至可能发生dos（拒绝服务）攻击。
• 注入：graphql只是一种带有用户提供输入的查询语言，这意味着如果你的api不安全，它可能会被恶意代码注入，攻击你的数据库、文件系统，甚至网络和操作系统。
• graphql炸弹：这些漏洞于2022年8月被发现，影响实现了graphql文件上传的api。这是一种dos（拒绝服务）攻击，涉及向graphql端点发送大量的http请求。
• http头配置错误：听起来似乎无关紧要，但相信我，它可能会造成比你想象的更多的损害。如果配置错误，它可能打开攻击的大门，比如csrf（跨站请求伪造）、mime嗅探，中间人攻击等等。
• 速率限制配置错误或未配置：速率限制只是限制客户端在特定时间范围内可以发出的查询数量。如果没有配置，这将导致潜在的dos威胁！

听起来可怕吗？是的。

现在我将分享一些您可以使用的最佳工具，以找到和修复graphql漏洞并保护服务器的安全。以下是我们将讨论的工具的摘要。

产品	显著特点
escape graphql安全	快速扫描，真实风险，与开发工具集成
inviciti graphql扫描器	扫描各种攻击，现代攻击保护
stackhawk graphql测试	持续漏洞检测，自动化安全
beagle security	主动测试，ci/cd集成，详细报告
graphql dot security	免费选项，端点检查，最新数据库
qualysec graphql渗透测试	owasp前十位分析，动态/静态api测试
appcheck安全扫描	api、spa和端点测试，jira/teamcity支持
synopsis api安全测试	持续后台测试，可视化缺陷映射
bright security api测试	微服务重点，cli，基于saas，ci/cd集成

escape graphql安全

escape以开发人员为中心构建其产品，其geaphql安全检查器也不例外。

作为为数不多的安全服务提供商之一，您可以确保最新的漏洞将在瞬间被扫描。

但这还不是全部：

• 启动第一次扫描只需约60秒！
• escape的数据库始终保持了漏洞的最新状态。
• 显示真实风险，而不仅是可能存在的问题。
• 与您喜爱的开发工具集成。

因此，如果您正在寻找一种快速而简便的解决方案来检查graohql漏洞，escape可能是您的下一站。

inviciti graphql扫描器

之前被称为netsparker，inviciti是扫描api中最值得信赖和最受欢迎的名称之一。

但是客户想要知道的是它能处理多少种类型的攻击，所以这是一个可以使用此产品扫描的严重攻击和漏洞的列表：

• 盲命令注入
• 盲sql注入
• 命令注入
• 远程代码执行
• 服务器端请求伪造

一个坚固的解决方案，可以抵御现代攻击。

stackhawk graphql安全测试

使用stackhawk的graphql测试的最大优点是它会在每个拉取请求中检查所有graphql漏洞。

如果这个关键特性还不足以赢得您的青睐，那么stackhawk还提供更多令人兴奋的功能：

• 自动化安全测试。
• 快速测试和修复。
• 易于使用的用户界面。
• 详细文档，方便自行修复。

非常酷。对吧？

beagle security

beagle security专注于提供自动化的web应用程序安全测试解决方案，并帮助公司识别和修复安全漏洞。

而他们的四个关键特点使它们非常特殊：

• 密集和积极的测试
• 与ci/cd集成
• 详细的报告
• 来自安全专家的详细修复建议

您还可以使用它们的链接_19>免费网站评估检查器来查找您网站中的漏洞。

graphql dot security (graphql.security)

如果您正在寻找免费选项并且对有限功能感到满意，那么没有什么比graphql.security提供的更好了。

这也是escape的产品，所以你可以放心他们的测试和可靠性。

以下是一些关键功能：

• escape的最新数据库
• 无需注册
• 能够在单击中检查端点
• 免费服务

所以，如果您刚刚开始在线业务并且有预算限制，我强烈建议使用graph.security。

qualysec graphql api渗透测试

qualysec提供专业的graphql api渗透测试，是一种网络安全评估服务，因此您可以发现漏洞并修复它们，并确保所有安全问题。

以下是他们提供的一些有趣功能：

• 针对owasp前10个graphql api测试分析产品，以防止最常见的威胁。
• 动态api测试。
• 静态api测试。
• 软件组合分析。

除了安全功能外，他们的漏洞扫描报告也非常出色，包括渗透测试报告、重测报告、承诺信和安全证书。

appcheck安全扫描

appcheck提供完整的api测试支持，但不仅如此。它还具有多个功能，如spa爬行、端点发现等等。

但这还不是全部：

• 通过实际工作流程节省时间。
• 与jira、teamcity和其他开发工具兼容。
• 发现零日漏洞，以及10万多个已知的安全漏洞和完整的owasp。

功能列表相当庞大。是不是很棒？

synopsis api安全测试

synopsis具有一个api测试程序，将自动发现您的应用程序的公开端点，所有这些都会在后台持续运行！

还不足以说服您吗？这里还有一些更棒的功能：

• 通过可视化映射准确定位代码和数据的缺陷
• 自动发现易受攻击的漏洞
• 威胁和风险评估

bright security api测试

bright security服务专为现代微服务环境设计，并与sdlc、ci/cd和git工作流程无缝集成，以便尽可能轻松地检测到漏洞。

以下是bright security的一些关键功能：

• 开发人员方便的cli
• 100%基于saas
• ci/cd集成
• 漏洞映射到owasp api安全前10名

总结…

在本教程中，我解释了graphql的关键漏洞以及查找和修复graphql漏洞的最佳工具。

我希望你会发现这个指南有用。

你可能也会对阅读关于 graphql vs. rest api 以及何时使用哪个的内容感兴趣。