9个用于查找和修复GraphQL安全漏洞的工具
对于不了解的人来说,graphql是facebook开发的一种用于api的查询语言和运行时,现在也是开源的(如释重负😌)。
和其他软件一样,graphql也有其优点和缺点。
你可以忽略与特性或功能相关的缺点。但是如果我告诉你graphql中存在一些漏洞,你会怎么样?
别担心。有各种工具可以帮助你发现和修复graphql的安全漏洞。
但是在介绍这些工具之前,让我们先看看graphql是什么以及它的漏洞是什么。
什么是graphql?
为了解释什么是graphql,想象一下这样一个场景:你坐在餐厅里点午餐。
但是你可能不想要菜单上明确提到的菜。有时候,你可能想要添加/删除一些配料。比如说,你对坚果过敏,想要按照自己的愿望定制食物。
把graphql想象成一个能够按照你指定的食物定制的服务员,但是graphql是在服务器数据上工作。
使用这样的技术,现代应用程序可以获取特定的数据,从而节省了大量的带宽,也提高了用户体验。
阅读更多关于 顶级graphql软件的信息。
graphql的漏洞
以下是一些潜在的漏洞列表,可以被具有不良意图的人用来突破敏感信息。
- 过度获取和不足获取:这种漏洞可以过度耗尽服务器资源。如果从graphql获取数据的指令不正确,可能会导致过度获取(获取比请求的数据更多)或者不足获取(获取比请求的数据更少,并且使用户多次请求数据)。
- 过度暴露数据:当访问控制配置错误时,会暴露关键数据。如果服务器允许未经授权的访问,那么任何具备足够技能的黑客都可以轻松突破数据。
- 嵌套查询问题:默认情况下,没有复杂性限制,这意味着您可以发送复杂的查询。现在想象一下多个复杂的嵌套查询将获取所有系统资源,导致响应变慢,甚至可能发生dos(拒绝服务)攻击。
- 注入:graphql只是一种带有用户提供输入的查询语言,这意味着如果你的api不安全,它可能会被恶意代码注入,攻击你的数据库、文件系统,甚至网络和操作系统。
- graphql炸弹:这些漏洞于2022年8月被发现,影响实现了graphql文件上传的api。这是一种dos(拒绝服务)攻击,涉及向graphql端点发送大量的http请求。
- http头配置错误:听起来似乎无关紧要,但相信我,它可能会造成比你想象的更多的损害。如果配置错误,它可能打开攻击的大门,比如csrf(跨站请求伪造)、mime嗅探,中间人攻击等等。
- 速率限制配置错误或未配置:速率限制只是限制客户端在特定时间范围内可以发出的查询数量。如果没有配置,这将导致潜在的dos威胁!
听起来可怕吗?是的。
现在我将分享一些您可以使用的最佳工具,以找到和修复graphql漏洞并保护服务器的安全。以下是我们将讨论的工具的摘要。
| 产品 | 显著特点 |
|---|---|
| escape graphql安全 | 快速扫描,真实风险,与开发工具集成 |
| inviciti graphql扫描器 | 扫描各种攻击,现代攻击保护 |
| stackhawk graphql测试 | 持续漏洞检测,自动化安全 |
| beagle security | 主动测试,ci/cd集成,详细报告 |
| graphql dot security | 免费选项,端点检查,最新数据库 |
| qualysec graphql渗透测试 | owasp前十位分析,动态/静态api测试 |
| appcheck安全扫描 | api、spa和端点测试,jira/teamcity支持 |
| synopsis api安全测试 | 持续后台测试,可视化缺陷映射 |
| bright security api测试 | 微服务重点,cli,基于saas,ci/cd集成 |
escape graphql安全
escape以开发人员为中心构建其产品,其geaphql安全检查器也不例外。
作为为数不多的安全服务提供商之一,您可以确保最新的漏洞将在瞬间被扫描。
但这还不是全部:
- 启动第一次扫描只需约60秒!
- escape的数据库始终保持了漏洞的最新状态。
- 显示真实风险,而不仅是可能存在的问题。
- 与您喜爱的开发工具集成。
因此,如果您正在寻找一种快速而简便的解决方案来检查graohql漏洞,escape可能是您的下一站。
inviciti graphql扫描器
之前被称为netsparker,inviciti是扫描api中最值得信赖和最受欢迎的名称之一。
但是客户想要知道的是它能处理多少种类型的攻击,所以这是一个可以使用此产品扫描的严重攻击和漏洞的列表:
- 盲命令注入
- 盲sql注入
- 命令注入
- 远程代码执行
- 服务器端请求伪造
一个坚固的解决方案,可以抵御现代攻击。
stackhawk graphql安全测试
使用stackhawk的graphql测试的最大优点是它会在每个拉取请求中检查所有graphql漏洞。
如果这个关键特性还不足以赢得您的青睐,那么stackhawk还提供更多令人兴奋的功能:
- 自动化安全测试。
- 快速测试和修复。
- 易于使用的用户界面。
- 详细文档,方便自行修复。
非常酷。对吧?
beagle security
beagle security专注于提供自动化的web应用程序安全测试解决方案,并帮助公司识别和修复安全漏洞。
而他们的四个关键特点使它们非常特殊:
- 密集和积极的测试
- 与ci/cd集成
- 详细的报告
- 来自安全专家的详细修复建议
您还可以使用它们的链接_19>免费网站评估检查器来查找您网站中的漏洞。
graphql dot security (graphql.security)
如果您正在寻找免费选项并且对有限功能感到满意,那么没有什么比graphql.security提供的更好了。
这也是escape的产品,所以你可以放心他们的测试和可靠性。
以下是一些关键功能:
- escape的最新数据库
- 无需注册
- 能够在单击中检查端点
- 免费服务
所以,如果您刚刚开始在线业务并且有预算限制,我强烈建议使用graph.security。
qualysec graphql api渗透测试
qualysec提供专业的graphql api渗透测试,是一种网络安全评估服务,因此您可以发现漏洞并修复它们,并确保所有安全问题。
以下是他们提供的一些有趣功能:
- 针对owasp前10个graphql api测试分析产品,以防止最常见的威胁。
- 动态api测试。
- 静态api测试。
- 软件组合分析。
除了安全功能外,他们的漏洞扫描报告也非常出色,包括渗透测试报告、重测报告、承诺信和安全证书。
appcheck安全扫描
appcheck提供完整的api测试支持,但不仅如此。它还具有多个功能,如spa爬行、端点发现等等。
但这还不是全部:
- 通过实际工作流程节省时间。
- 与jira、teamcity和其他开发工具兼容。
- 发现零日漏洞,以及10万多个已知的安全漏洞和完整的owasp。
功能列表相当庞大。是不是很棒?
synopsis api安全测试
synopsis具有一个api测试程序,将自动发现您的应用程序的公开端点,所有这些都会在后台持续运行!
还不足以说服您吗?这里还有一些更棒的功能:
- 通过可视化映射准确定位代码和数据的缺陷
- 自动发现易受攻击的漏洞
- 威胁和风险评估
bright security api测试
bright security服务专为现代微服务环境设计,并与sdlc、ci/cd和git工作流程无缝集成,以便尽可能轻松地检测到漏洞。
以下是bright security的一些关键功能:
- 开发人员方便的cli
- 100%基于saas
- ci/cd集成
- 漏洞映射到owasp api安全前10名
总结…
在本教程中,我解释了graphql的关键漏洞以及查找和修复graphql漏洞的最佳工具。
我希望你会发现这个指南有用。
你可能也会对阅读关于 graphql vs. rest api 以及何时使用哪个的内容感兴趣。
