9 инструмента за намиране и коригиране на уязвимости в сигурността на GraphQL

от

За тези, които не знаят, GraphQL е език за заявки и среда за изпълнение на API, разработени от Facebook и вече са с отворен код (облекчение 😌).

И като всеки друг софтуер, GraphQL също има своите плюсове и минуси.

Можете да пренебрегнете недостатъците, свързани с характеристиките или функционалността. Но какво ще стане, ако ви кажа, че има списък с уязвимости в GraphQL?

не се тревожи Има различни инструменти, които ще ви помогнат да намерите и коригирате уязвимости в сигурността на GraphQL.

Но преди да ви запозная с инструментите, нека първо да разгледаме какво представлява GraphQL и какви са неговите уязвимости.

Какво е GraphQL?

За да обясните какво е GraphQL, представете си сценарий; седите в ресторант и поръчвате обяд.

Но може да не искате точното ястие, споменато в менюто. Понякога може да искате да включите/премахнете някои съставки. Кажете, че сте алергични към ядки и искате да персонализирате храната, както желаете.

Мислете за GraphQL като за сервитьор, който персонализира определената от вас храна и ви получава точно това, което сте поискали, но GraphQL работи върху данните от сървърите.

Използвайки такава технология, съвременните приложения могат да ви получат конкретни данни, които ви спестяват много честотна лента и също така подобряват потребителското изживяване.

Прочетете повече за най-добрия софтуер GraphQL.

Уязвимости на GraphQL

Ето списък на потенциалния списък с уязвимости, които могат да бъдат използвани от хора с тъмни намерения за нарушаване на чувствителна информация.

  • Прекомерно извличане и недостатъчно извличане: Тази уязвимост може да изчерпи прекомерно сървърните ресурси. Ако инструкциите за извличане на данни от GraphQL са неправилни, това може да ви доведе до свръхизвличане (получава повече данни от заявените) или недостатъчно извличане (получава по-малко данни от поисканите и кара потребителя да изисква данни няколко пъти).
  • Прекомерно излагане на данни: Когато контролът на достъпа е неправилно конфигуриран, той разкрива критичните данни. И ако сървърът позволява неоторизиран достъп, тогава всеки хакер с достатъчно умения може лесно да проникне в данните.
  • Проблем с вложените заявки: По подразбиране няма ограничение за сложност, което ви позволява да изпращате сложни заявки. Сега помислете за множество вложени сложни заявки, които ще придобият всички системни ресурси, което ще доведе до бавен отговор и дори до потенциална DOS (Denial Of Service) атака.
  • Инжекции: GraphQL не е нищо друго освен език за заявки с въведени от потребителя данни, което просто означава, че ако вашият API не е защитен, той може да бъде инжектиран със зловреден код и вашата база данни, файлова система и дори мрежата и операционната система могат да бъдат насочени.
  • GraphQL бомби: Те бяха открити през август 2022 г. и засягат внедрените API Качване на GraphQL файлове. Това е DOS (Denial Of Service) атака, която включва изпращане на много HTTP заявки до крайната точка на GraphQL.
  • Неправилно конфигурирани HTTP заглавки: Въпреки че звучи като нищо, повярвайте ми, това може да причини много повече щети, отколкото си мислите. Ако не е конфигуриран правилно, той може да отвори врати за атаки като CSRF (Cross-Site Request Forgery), MIME sniffing, Man in the Middle атака и много други.
  • Ограничаването на скоростта е неправилно конфигурирано или не е конфигурирано: Ограничаването на скоростта не е нищо друго освен ограничаване на броя заявки, които клиентът може да направи в определен период от време. И ако не е конфигуриран, това води до потенциална DOS заплаха!
  16 най-добри генератора на фактури за приемане на плащания

Звучи страшно? не е ли

Сега ще споделя някои от най-добрите инструменти, които можете да използвате, за да намерите и коригирате уязвимостите на GraphQL и да защитите вашия сървър. Ето обобщение на инструментите, които ще обсъдим.

Забележителни характеристики на продуктаИзбягайте от GraphQL SecurityБързо сканиране, реални рискове, интеграция с инструменти за разработчициInviciti GraphQL скенерСканира за различни атаки, съвременна защита от атакиStackHawk GraphQL тестванеНепрекъснати проверки за уязвимост, автоматизирана сигурностБийгъл СигурностАктивно тестване, CI/CD интеграция, подробни отчетиСигурност на GraphQL точкаБезплатна опция, проверка на крайна точка, актуална база данниТестване на писалка Qualysec GraphQLOWASP Топ 10 анализ, динамично/статично API тестванеСканиране за сигурност на AppCheckAPI, SPA и тестване на крайни точки, поддръжка на Jira/TeamCityСинопсис Тестване на сигурността на APIНепрекъснато фоново тестване, визуално картографиране на дефектиТестване на Bright Security APIФокус върху микросервизите, CLI, SaaS-базирана, CI/CD интеграция

  ClickUp срещу monday.com: Рентабилен софтуер за управление на проекти

Избягайте от GraphQL Security

бягство изгражда своите продукти, като същевременно има предвид разработчиците, а неговият инструмент за проверка на сигурността GeaphQL не е по-различен.

Като един от малкото доставчици на услуги за сигурност, можете да бъдете сигурни, че съвсем новата уязвимост ще бъде сканирана за миг.

Но има още нещо:

  • Отнема около 60 секунди, за да започне първото сканиране!
  • Базата данни на Escape се поддържа актуална за уязвимости.
  • Показва реални рискове, вместо да показва проблеми, които може да представляват риск.
  • Интеграция с любимите ви инструменти за разработчици.

Така че, ако търсите бързо и лесно решение за проверка на уязвимостта на GraohQL, Escape може да бъде следващата ви спирка.

Inviciti GraphQL скенер

По-рано известен като Netsparker, Inviciti е едно от най-доверените и популярни имена сред API за сканиране.

Но това, което клиентът иска да знае, е за колко вида атаки може да се погрижи, така че ето списък с тежки атаки и уязвимости, които могат да бъдат сканирани с този продукт:

  • Инжектиране на сляпа команда
  • Сляпо SQL инжектиране
  • Командно инжектиране
  • Дистанционно изпълнение на код
  • Фалшифициране на заявка от страна на сървъра

Стабилно решение, което да бъде спасено от съвременните атаки.

Тестване на сигурността на StackHawk GraphQL

Най-добрата част от използването GraphQL тестване на StackHawk дали проверява за всички уязвимости на GraphQL при всяка заявка за изтегляне.

И ако тази ключова функция не е достатъчна, за да спечели сърцето ви, ето още вълнуващи функции от StackHawk:

  • Автоматизирано тестване на сигурността.
  • Светкавично бързо тестване и коригиране
  • Лесен потребителски интерфейс
  • Великолепна документация за лесно самопоправяне

Много готино. нали

Бийгъл Сигурност

Бийгъл Сигурност специализира в предоставянето на автоматизирани решения за тестване на сигурността на уеб приложения и помага на компаниите да идентифицират и коригират пропуски в сигурността.

И техните четири ключови характеристики ги правят супер специални:

  • Интензивно и активно тестване
  • Интегриран с CI/CD
  • Подробни доклади
  • Подробни предложения за корекция от експерти по сигурността

Можете също да използвате техните безплатна програма за проверка на оценка на уебсайтове за намиране на уязвимости във вашия сайт.

Сигурност на GraphQL точка (graphql.security)

Ако търсите безплатна опция и се чувствате комфортно с ограничени функции, тогава няма нищо, което да надмине предложението от graphql.security.

  Как лесно да промените системните настройки на Ubuntu с Ubunsys

Това също е продукт от бягство така че можете да сте сигурни в техните тестове и надеждност.

И някои от основните характеристики включват:

  • Актуална база данни на Escape
  • Не се изисква регистрация
  • Възможност за проверка на крайна точка с едно кликване
  • Безплатно обслужване

Така че, ако тепърва започвате с вашия онлайн бизнес и имате бюджетни ограничения, силно препоръчвам да използвате graph.security.

Тестване за проникване на Qualysec GraphQL API

Qualysec осигурява професионално тестване за проникване на GraphQL API и е услуга за оценка на киберсигурността, така че можете да разкриете уязвимости и да ги поправите и да бъдете сигурни за всички проблеми със сигурността.

И ето някои интересни функции, които предоставят:

  • Продуктът е анализиран за OWASP Top 10 GraphQL API Testing, за да бъде защитен срещу най-често срещаните заплахи.
  • Динамично API тестване.
  • Статично API тестване.
  • Анализ на състава на софтуера.

Освен характеристиките за сигурност, техният доклад за сканиране на уязвимости е изключителен, тъй като включва доклад за проникване, доклад за повторен тест, атестационно писмо и сертификат за сигурност.

Сканиране за сигурност на AppCheck

Appcheck ви дава пълна помощ за тестване на API, но не само това. Предлага се с множество функции като SPA обхождане, откриване на крайна точка и др.

Но има още нещо:

  • Спестява време с практичен работен процес.
  • Съвместим с Jira, TeamCity и други инструменти за разработка.
  • Открийте нула дни, плюс 100 000+ известни пропуска в сигурността и пълен OWASP.

Доста огромен списък от функции. не е ли

Синопсис Тестване на сигурността на API

Синопсис има програма за тестване на API, която автоматично ще открие откритите крайни точки на вашето приложение и всичко това ще работи непрекъснато във фонов режим!

Все още не е достатъчно, за да ви убеди? Ето още няколко невероятни функции:

  • Открива пропуски в кода и данните с визуално картографиране
  • Автоматично откриване на уязвими места
  • Оценки на заплахите и риска

Тестване на Bright Security API

Ярка сигурност услугите са проектирани за съвременни микросервизни среди и осигуряват безпроблемна интеграция с работни потоци SDLC, CI/CD и git, така че уязвимостите да могат да бъдат открити възможно най-лесно.

И ето някои ключови характеристики на сигурността на Bright:

  • Удобен CLI за разработчици
  • 100% базиран на SaaS
  • CI/CD интеграция
  • Уязвимости, съпоставени към Топ 10 на сигурността на OWASP API

Обобщавайки…

В този урок обясних ключовите уязвимости на GraphQL и най-добрите инструменти за намиране на уязвимости на GraphQL и коригирането им.

Надявам се, че ще намерите това ръководство за полезно.

Може също да ви е интересно да прочетете за GraphQL срещу REST API и кога да използвате.