s2.
@sakura26eq
Mon, Feb 6, 2023 9:10 AM
4
1
「轉」年假期間除了做些研究,也幫朋友對其產品的 GraphQL 做了些資安測試。
分享些 GraphQL Security 101 - 工具篇。
Facebook
s2.
@sakura26eq
Mon, Feb 6, 2023 9:12 AM
➊ EyeWitness - 掃描工具
»
GitHub - FortyNorthSecurity/EyeWitness: EyeWitness i...
圖形化介面,適合不習慣 CLI 的人。我用不慣,因為我是 CLI 派的,但不得不說這工具用得好會挺方便的。
➋ clairvoyance - 掃描工具
»
GitHub - nikitastupin/clairvoyance: Obtain GraphQL A...
取得 GraphQL API Schema 的好工具,有機會在對方未啟用 Introspection 下也能獲取。
➌ graphql-cop - 弱點掃描
»
GitHub - dolevf/graphql-cop: Security Auditor Utilit...
常見的幾種弱點都有支援。
s2.
@sakura26eq
Mon, Feb 6, 2023 9:12 AM
➍ CrackQL - force & fuzz
»
GitHub - nicholasaleks/CrackQL: CrackQL is a GraphQL...
如果需要進一步暴力破解或是 fuzzing 可用。
➎ inql
»
GitHub - doyensec/inql: InQL - A Burp Extension for ...
若還是習慣使用 Burp Suite,inql 可以提供更多的 GraphQL 支援。
- - -
最後,針對服務方可參考 GraphQL 威脅評論圖 (GraphQL Threat Matrix),對照目前所用的 GraphQL 所處的比較位置。不過這份製表日期為 2022 年中,更新部分還需自行補充。
»
GitHub - nicholasaleks/graphql-threat-matrix: GraphQ...
載入新的回覆
分享些 GraphQL Security 101 - 工具篇。
»
圖形化介面,適合不習慣 CLI 的人。我用不慣,因為我是 CLI 派的,但不得不說這工具用得好會挺方便的。
➋ clairvoyance - 掃描工具
»
取得 GraphQL API Schema 的好工具,有機會在對方未啟用 Introspection 下也能獲取。
➌ graphql-cop - 弱點掃描
»
常見的幾種弱點都有支援。
»
如果需要進一步暴力破解或是 fuzzing 可用。
➎ inql
»
若還是習慣使用 Burp Suite,inql 可以提供更多的 GraphQL 支援。
- - -
最後,針對服務方可參考 GraphQL 威脅評論圖 (GraphQL Threat Matrix),對照目前所用的 GraphQL 所處的比較位置。不過這份製表日期為 2022 年中,更新部分還需自行補充。
»