- Webアプリケーション診断　GraphQL -

GraphQLのクエリ言語

GraphQLは主にQuery、Mutation、Subscriptionの3種類のクエリ言語で構成されています。

ここではQueryとMutationについてご説明します。

Query…必要なデータのみを取得する

REST APIでいうGETにあたるものでデータを取得する処理です。

GraphQLでは例えばユーザ情報としてid,name,email,addressなど

複数のプロパティが定義されているとして、

「ユーザ情報からidとnameだけを取得する」という指示ができ、

サーバはこの指定されたプロパティの値を返します。

これによりクライアントは必要なデータのみを取得することができます。

Mutation…更新

REST APIでのPOST、PUT、PATCH、DELETEにあたるものでデータを作成、更新、削除したいときに使用します。

診断結果や診断対象の概要、脆弱性の詳細な解説、再現方法および対策の方法などを、Webアプリケーションの特性に応じて詳細に解説します。

GraphQLの脆弱性

GraphQLは攻撃者がクエリを細工することで構造を意図的に複雑化させDoS攻撃を引き起こせるといった欠点があります。

また適切なアクセス制御がされていない場合、Query や Mutationを実行することで

本来一般ユーザがアクセスできてはいけないユーザ情報を取得したり変更できてしまう場合もあります。

GraphQLならではの診断観点

GraphQLでは従来のREST APIの脆弱性診断に以下の観点が加わります。

・システム操作時には使用されていないQueryやMutationを使用して、
　本来許可されていないデータの取得やデータ更新が出来ないかの確認
　
・クエリの深さや複雑さの制限確認

・公開を想定していないデバッグ関連情報などの確認

診断レポートサンプルにはGraphQLの脆弱性の例も記載しています。詳細は下記よりご請求ください。