- Webアプリケーション診断　GraphQL -

GraphQLとは

Facebookが開発・提供しているWebAPIの規格です。GraphQLではクライアントが必要なデータ構造を定義しサーバは定義された同構造のデータを返します。これによりクライアントは指定したデータのみを取得することができるということが大きな特徴です。現在Web APIの標準的な規格として使用されるRESTful API(以下REST API)では、目的のリソース以外の余計なデータまで取得せざるを得ない、エンドポイントやURLのクエリパラメータが複雑になる、そのため通信速度が遅くなるといった問題がありました。この問題の解決策として特定のデータシェイプのみを参照する方法であるGraphQLが開発されました。近年はその利便性からGraphQLを採用しているシステムが多くリリースされています。

GraphQLのクエリ言語

GraphQLは主にQuery、Mutation、Subscriptionの3種類のクエリ言語で構成されています。ここではQueryとMutationについてご説明します。

Query　必要なデータのみを取得する

REST APIでいうGETにあたるものでデータを取得する処理です。GraphQLでは例えばユーザ情報としてid,name,email,addressなど複数のプロパティが定義されているとして、「ユーザ情報からidとnameだけを取得する」という指示ができ、サーバはこの指定されたプロパティの値を返します。これによりクライアントは必要なデータのみを取得することができます。

Mutation　更新

REST APIでのPOST、PUT、PATCH、DELETEにあたるものでデータを作成、更新、削除したいときに使用します。診断結果や診断対象の概要、脆弱性の詳細な解説、再現方法および対策の方法などを、Webアプリケーションの特性に応じて詳細に解説します。

GraphQLの脆弱性

GraphQLは攻撃者がクエリを細工することで構造を意図的に複雑化させDoS攻撃を引き起こせるといった欠点があります。また適切なアクセス制御がされていない場合、Query や Mutationを実行することで本来一般ユーザがアクセスできてはいけないユーザ情報を取得したり変更できてしまう場合もあります。

GraphQLでは従来のREST APIの脆弱性診断に以下の観点が加わります。（診断レポートサンプルにはGraphQLの脆弱性の例も記載しています。）

GraphQLならではの診断観点

・システム操作時には使用されていないQueryやMutationを使用して
　本来許可されていないデータの取得やデータ更新が出来ないかの確認

・クエリの深さや複雑さの制限確認

・公開を想定していないデバッグ関連情報などの確認

セキュリティ診断の結果や行うべき対策がわかる

セキュリティ診断レポートサンプルをお送りします

セキュリティ診断で発見された脆弱性と、具体的な内容・再現方法・リスク・対策方法を報告したレポートのサンプルをご覧いただけます。

お申し込みはこちら