ã€51CTO.com快译】作为最为æµè¡Œçš„查询è¯è¨€ä¹‹ä¸€ï¼ŒGraphQL虽然能够支æŒåˆ›å»ºçµæ´»çš„API,但是它也容易放过ã€ç”šè‡³ç»™åº”用程åºæœåŠ¡å™¨å¸¦æ¥å„ç§æ¶æ„的查询。一些常è§çš„GraphQLæ¼æ´žå¾€å¾€ä¼šåœ¨ä¸€è‡´æ€§è¯„估和缺陷缓解ç‰æ–¹é¢åŸ‹ä¸‹å„ç§å®‰å…¨éšæ‚£ã€‚在本文ä¸ï¼Œæˆ‘们将深入和您探讨GraphQLçš„å„ç§å¸¸è§æ¼æ´žï¼Œä»¥åŠé™ä½Žæ¤ç±»é£Žé™©çš„优秀实践。
什么是GraphQL?
作为一ç§æœåŠ¡å™¨ç«¯è¿è¡Œæ—¶(runtime)çš„API查询è¯è¨€ï¼ŒGraphQL能够优先返回客户端请求的数æ®ã€‚该è¯è¨€ä¸ä½†èƒ½å¤Ÿè®©APIå˜å¾—轻巧ã€çµæ´»ï¼Œè€Œä¸”对于开å‘人员å分å‹å¥½ä¸”方便他们进行快速开å‘。而作为REST API框架的替代方案,GraphQLå…许开å‘团队在å•ä¸ªæŽ¥å£çš„调用ä¸ï¼Œåˆ›å»ºå¯è®¿é—®æ¥è‡ªå¤šä¸ªæ•°æ®æºçš„请求。该è¯è¨€å¯ä»¥è¢«éƒ¨ç½²åˆ°é›†æˆå¼€å‘环境(IDE)ä¸ï¼Œå¹¶æä¾›æ述用户该如何请求数æ®çš„è¯æ³•ã€‚å¯ä»¥è¯´ï¼ŒGraphQLæ—¢æ供了一个å¯é¢„测è¿è¡Œçš„框架,åˆå…许开å‘人员自行选择构建API的方法。
GraphQL的常è§å®‰å…¨é—®ç”
API攻击普éå—?
éšç€APIæ™®é被使用,针对它的攻击å°è¯•åœ¨æ•°é‡ä¸Šä¹Ÿåœ¨æŒç»å¢žåŠ 。这些攻击通常ä¾èµ–于通过应用程åºçš„编程接å£ï¼ŒåŽ»è‡ªåŠ¨åŒ–执行å„ç§æ¶æ„æ“ä½œã€‚æ ¹æ®Wallarm.com的一份统计报告,截至2019年,æ¶æ„自动化攻击主机ã€åŠå…¶ç½‘络已å 互è”网的20%。这使得ä¿æŠ¤APIæˆä¸ºåº”用程åºå®‰å…¨æŽªæ–½çš„一个关键环节。
是å¦æœ‰ç®€åŒ–GraphQL安全性的工具?
ç›®å‰ï¼Œä¸šç•Œæœ‰å¤šç§å¼€æºçš„项目,å¯ä»¥ç®€åŒ–GraphQL API的创建和管ç†ã€‚å…¶ä¸åŒ…括:Apollo clientã€Offixã€Graphbackå’Œ OpenAPI-to-GraphQL。
GraphQL如何处ç†èº«ä»½éªŒè¯å’ŒæŽˆæƒ?
由于GraphQL是一ç§æœåŠ¡å™¨ç«¯è¿è¡Œæ—¶æŸ¥è¯¢è¯è¨€ï¼Œå› æ¤å®ƒå¹¶ä¸å¤„ç†æŽˆæƒçš„逻辑。ä¸è¿‡ï¼Œè¯¥å¹³å°å…许开å‘人员,在å‘客户端公开API之å‰ï¼Œåœ¨ä¸šåŠ¡é€»è¾‘层ä¸å®žæ–½èº«ä»½éªŒè¯å’ŒæŽˆæƒçš„检查。
GraphQL的具体安全性问题
å‡å€Ÿç€å…¶ä¸°å¯Œçš„å¹³å°åŠŸèƒ½ï¼Œä»¥åŠèƒ½å¤Ÿç®€åŒ–API查询的创建过程,GraphQL已被誉为现代应用开å‘æŠ€æœ¯æ ˆçš„å…³é”®ç»„ä»¶ã€‚è€Œä¸ºäº†å助ä¼ä¸šå‡å°‘GraphQL API的攻击é¢ï¼Œæˆ‘们å¯ä»¥é€šè¿‡å¦‚下方é¢æ¥ç®¡æŽ§GraphQLå¹³å°çš„固有安全问题:
è‡ªå®šä¹‰æ ‡é‡çš„验è¯ä¸è¶³
在使用GraphQL时,原始数æ®å¾€å¾€æ˜¯ç”±æ ‡é‡ç±»åž‹(scalar type)表示的。GraphQL API通常支æŒäº”ç§åŸºæœ¬çš„æ ‡é‡æ•°æ®ç±»åž‹ï¼Œå³ï¼šIntã€Floatã€Booleanã€IDå’ŒString。虽然这个基本集åˆå¯¹äºŽç®€å•çš„APIæ¥è¯´å·²ç»è¶³å¤Ÿäº†ï¼Œä½†æ˜¯GraphQL也å…许开å‘人员针对特殊的原始数æ®APIç±»åž‹éœ€æ±‚ï¼Œè‡ªè¡Œåˆ›å»ºæ ‡é‡ç±»åž‹ã€‚当然,开å‘人员需è¦é’ˆå¯¹æ¤ç±»é…置,é¢å¤–åœ°å¢žåŠ ç”¨æˆ·è¾“å…¥çš„éªŒè¯ã€ä»¥åŠæ¸…ç†çš„过程。相å,如果未能实现æ¤ç±»åŠŸèƒ½ï¼Œåˆ™ä¼šå±åŠåˆ°GraphQLæ ‡é‡ç±»åž‹çš„安全性。
REST代ç†å……当API攻击媒介
在调整现有的API以供GraphQL客户端调用时,开å‘人员通常会将GraphQL实现为,在内部REST框架之上的一个瘦代ç†å±‚ã€‚å¦‚æžœåœ¨æ²¡æœ‰å……åˆ†è€ƒè™‘åˆ°å®‰å…¨å› ç´ çš„æƒ…å†µä¸‹å®žæ–½æ¤ç±»è½¬æ¢ï¼Œé‚£ä¹ˆæ¶æ„用户就å¯ä»¥ä»»æ„修改API请求ä¸æ‰€æŒ‡å®šçš„路径或å‚数。而修改åŽçš„请求在解æžåˆ°åŽç«¯API时,攻击者便å¯ä»¥å®žæ–½è·¨ç«™è¯·æ±‚ä¼ªé€ ( cross-site request forgery,CSRF)了。
授æƒç¼ºé™·
GraphQLå°†é…置授æƒå’Œèº«ä»½éªŒè¯çš„检查责任,留给了最终实现者。å³ï¼ŒGraphQL API在查询级别的解æžå™¨ã€ä»¥åŠåŠ è½½é™„åŠ æ•°æ®çš„解æžå™¨ä¸ï¼Œéœ€è¦åŒ…å«å¤šé¡¹æŽˆæƒæ£€æŸ¥ã€‚而当授æƒç”±æŸ¥è¯¢çº§è§£æžå™¨ç›´æŽ¥å¤„ç†æ—¶ï¼Œä»»ä½•æœªç»æ£€æŸ¥çš„API实例都会暴露å—攻击é¢ã€‚而且,éšç€API模å¼å¤æ‚æ€§çš„å¢žåŠ ï¼Œæ¤ç±»è¢«æ”»å‡»è€…利用的æ¼æ´žé£Žé™©ä¹Ÿä¼šéšä¹‹å¢žåŠ 。
自çœæŸ¥è¯¢(Introspection Queries)å¯èƒ½ä¼šæš´éœ²æ•æ„Ÿæ•°æ®
å¼€å‘äººå‘˜ä¸ºäº†åŽ»å®žçŽ°é‚£äº›æ— æ³•å…¬å¼€è®¿é—®çš„â€œéšè—â€API端点,会å¯ç”¨GraphQLæœåŠ¡å™¨ä¹‹é—´çš„API端点通信,或通过éšè—的管ç†åŠŸèƒ½æ¥å®žçŽ°ã€‚å…¶ä¸ï¼ŒGraphQL包å«äº†ä¸€ä¸ªè‡ªçœåŠŸèƒ½ï¼Œå¯ä»¥åœ¨æ²¡æœ‰é€‚当授æƒçš„情况下,轻æ¾åœ°è®¿é—®å„个端点。由于自çœåŠŸèƒ½å…许客户端访问有关GraphQL架构的信æ¯ï¼Œå› æ¤ä¸€æ—¦æœ‰æ”»å‡»å‘生,自çœæŸ¥è¯¢å°±å¯ä»¥è¢«ç”¨äºŽè®¿é—®API的相关é…ç½®ã€ä»¥åŠå…¶ä»–客户端的ç§æœ‰ä¿¡æ¯ã€‚
速率é™åˆ¶éš¾ä»¥å®žæ–½
从本质上说,GraphQL API是比较å¤æ‚的。它的æ¯ä¸€ä¸ªæŸ¥è¯¢éƒ½ä¼šæ¶‰åŠåˆ°å¤šé¡¹æ“作,并且会消耗大é‡çš„æœåŠ¡å™¨èµ„æºã€‚å› æ¤ï¼Œå…‰é é™åˆ¶æŽ¥æ”¶åˆ°çš„HTTP请求数é‡ï¼Œå¹¶ä½¿ç”¨é»˜è®¤çš„速率é™åˆ¶ç–略是ä¸å¤Ÿçš„。如果两ç§å¯¹è±¡ç±»åž‹ä¹‹é—´å˜åœ¨ç€æŸç§å¾ªçŽ¯å…³ç³»ï¼Œé‚£ä¹ˆæ”»å‡»è€…å°±å¯ä»¥é€šè¿‡åˆ›å»ºå„ç§æ»¥ç”¨æŸ¥è¯¢(abusive queries),从而让查询本身å˜å¾—异常å¤æ‚。以æ¤äº§ç”Ÿçš„编排,能够对GraphQL应用å‘èµ·æ‹’ç»æœåŠ¡å¼(DoS)的攻击。
常è§çš„GraphQLæ¼æ´ž
下é¢ï¼Œæˆ‘们æ¥è¿›ä¸€æ¥è®¨è®ºGraphQL有哪些常è§çš„æ¼æ´žï¼Œå¯è¢«æ¶æ„攻击者在API层é¢åˆ©ç”¨ã€‚
GraphQL批处ç†æ”»å‡»
GraphQL框架能够支æŒè‡ªçœæŸ¥è¯¢çš„批处ç†ï¼Œå³ï¼šèƒ½å¤Ÿåœ¨ä¸€æ¬¡æ€§è°ƒç”¨ä¸ï¼Œå‘åŽç«¯APIå‘é€å¤šä¸ªè¯·æ±‚。由于å‡å°‘了请求与æœåŠ¡å™¨ä¹‹é—´çš„å¾€è¿”æ¬¡æ•°ï¼Œå› æ¤è¿™å¯¹äºŽå‡å°‘API请求的开销éžå¸¸å®žç”¨ã€‚ä¸è¿‡ï¼Œæ”»å‡»è€…也å¯ä»¥ä½¿ç”¨æŸ¥è¯¢çš„批处ç†åŠŸèƒ½ï¼Œé€šè¿‡åå¤ä»ŽAPIæœåŠ¡å™¨ã€æˆ–æ•°æ®åº“å¤„åŠ è½½æ•°æ®ï¼Œæ¥ç¼–排å„ç§å¿«é€Ÿä¸”难以被检测到的暴力攻击。
以下典型示例展示了,在æœç´¢æ•°å—è®°å½•å¯¹è±¡æ ‡è¯†(Digital Record Object Identification,DROID)对象的ä¸åŒå®žä¾‹æ—¶ï¼Œè¿›è¡ŒGraphQL批处ç†æŸ¥è¯¢çš„代ç :
query { droid(id: "2000"){ name } second:droid(id: "2001"){ name } third:droid(id: "2002"){ name } }
而攻击者å¯ä»¥é€šè¿‡åˆ¶é€ 一些网络请求,æ¥æžšä¸¾APIæœåŠ¡å™¨ä¸çš„æ¯ä¸€ä¸ªdroid对象。这就å¯èƒ½ä¼šå¯¼è‡´API级别的DoS攻击ã€æš´åŠ›ç ´è§£ç§˜å¯†æ•°æ®ã€ç»•è¿‡è¯·æ±‚的速率é™åˆ¶ã€ä»¥åŠå¯¹è±¡æžšä¸¾ç‰å®‰å…¨é—®é¢˜ã€‚
GraphQL注入攻击
GraphQL API通常与作为数æ®æºçš„æ•°æ®åº“管ç†ç³»ç»Ÿç›¸è¿žæŽ¥ã€‚APIåŽç«¯çš„Resolver在收到请求åŽï¼Œä¼šæ ¹æ®æ“作集æ¥åŒºåˆ†æŸ¥è¯¢ã€‚在Resolver查询数æ®åº“时,如果其æ“作涉åŠåˆ°æ•°æ®çš„æå–,那么就会直接执行相应的获å–æ“作。å¯è§ï¼Œå¦‚æžœæ¥è‡ªAPI客户端的数æ®ï¼Œåœ¨æœªè¢«é€‚当清ç†çš„情况下,执行任何å—ä¿¡çš„æ“作,那么黑客就å¯ä»¥é€šè¿‡ç¼–排SQL/NoSQL,æ¥å®žæ–½æ³¨å…¥æ”»å‡»ã€‚åŒæ ·ï¼Œå¦‚果对输入的清ç†ä¸å¤Ÿå……分,攻击者还会执行诸如LDAP注入ã€ä»¥åŠå‘½ä»¤æ³¨å…¥ç‰å…¶ä»–å½¢å¼çš„注入攻击。
GraphQL CSRF攻击
è·¨ç«™è¯·æ±‚ä¼ªé€ (CSRF)攻击是指,在åˆæ³•ç”¨æˆ·ä¸çŸ¥æƒ…时,强迫WebæœåŠ¡å™¨è¿è¡Œé‚£äº›ä¸å¿…è¦çš„æ“作。当å˜åœ¨CSRFæ¼æ´žæ—¶ï¼Œæ”»å‡»è€…会在当å‰ç™»å½•ç”¨æˆ·çš„上下文,å‘é€ç»è¿‡èº«ä»½éªŒè¯çš„请求。而GraphQL类型的应用æžæ˜“å—到CSRF攻击,毕竟API在接收æµè§ˆå™¨çš„请求时,会自动接å—所有的cookie(å…¶ä¸å°±åŒ…括了会è¯cookie)。
ç›®å‰ï¼Œä¸»è¦æœ‰ä¸¤ç§ç±»åž‹çš„GraphQL CSRF攻击:基于Post和基于Getçš„CSRF。由于GraphQL使用多个API层æ¥è½¬æ¢ä¼ å…¥çš„å¤šæ ¼å¼è¯·æ±‚,而且能够影å“到GraphQL应用的状æ€ï¼Œå› æ¤å¤§å¤šæ•°CSRF攻击通常以POSTè¯·æ±‚ä¸ºç›®æ ‡ã€‚é€šå¸¸ï¼Œè®¸å¤šå¼€å‘人员会åªæŽ¥å—设置为application/jsonçš„Content-Typeæ ‡å¤´ã€‚ä¾‹å¦‚ï¼Œä»¥ä¸‹POST请求å¯ç”¨äºŽå‘出有效的GraphQL查询:
POST /GraphQLHTTP/1.1 Host: redacted Connection: close Content-Length: 100 accept: */* User-Agent: ... content-type: application/json Referer: https://redacted/ Accept-Encoding: gzip, deflate Accept-Language: en-US,en;q=0.9 Cookie: ... {"operationName":null,"variables":{},"query":"{\n user {\n firstName\n __typename\n }\n}\n"}
æœåŠ¡å™¨å¯ä»¥å°†æ¤è¯·æ±‚作为form-urlencoded POST请求予以接å—:
POST /GraphQLHTTP/1.1 Host: redacted Connection: close Content-Length: 72 accept: */* User-Agent: Mozilla/5.0(Macintosh; Intel Mac OS X 11_2_2)AppleWebKit/537.36(KHTML, like Gecko)Chrome/89.0.4389.82 Safari/537.36 Content-Type: application/x-www-form-urlencoded Referer: https://redacted Accept-Encoding: gzip, deflate Accept-Language: en-US,en;q=0.9 Cookie: ... query=%7B%0A++user+%7B%0A++++firstName%0A++++__typename%0A++%7D%0A%7D%0A
而有ç»éªŒçš„攻击者则å¯ä»¥ä½¿ç”¨è‡ªåŠ¨åŒ–扫æ工具,将其转æ¢ä¸ºCSRF的攻击接å£ï¼š
弥补GraphQLæ¼æ´žçš„清å•
下é¢ï¼Œæˆ‘们将以清å•çš„å½¢å¼ï¼Œç»™å‡ºä¸€äº›ä¸ŽGraphQL安全有关的优秀实践。
防æ¢GraphQL注入攻击
对于那些由LDAPã€ORMs/SQL/NoSQL或XMLç‰è¾…助解æžå™¨ï¼Œæ¥å¤„ç†è¾“入信æ¯çš„应用而言,我们建议开å‘人员åšåˆ°å¦‚下方é¢ï¼š
选择诸如å‚数化è¯å¥ç‰èƒ½å¤Ÿæ供安全API的库。
æ ¹æ®æ‰€é€‰ç”¨çš„解æžå™¨çš„最佳实践,对输入进行转义或编ç 。
éµå¾ªæ‰€é€‰æ¨¡å—的文档,以æ£ç¡®çš„æ–¹å¼ä½¿ç”¨è¯¥å·¥å…·ã€‚毕竟,大多数è¯è¨€å’Œæ¡†æž¶éƒ½å†…置了编ç /è½¬ä¹‰åŠŸèƒ½ï¼Œå› æ¤äº†è§£å®ƒä»¬çš„æ ¸å¿ƒåŠŸèƒ½ï¼Œå¹¶é€‰æ‹©é€‚åˆçš„用例是éžå¸¸é‡è¦çš„。
预防DoS攻击
DoS攻击旨在使得GraphQL APIå˜æ…¢ã€ç”šè‡³æ— 法å“应æ£å¸¸çš„请求。为了防御æ¤ç±»æ”»å‡»ï¼Œæˆ‘们应åšåˆ°ï¼š
ä¸ºä¼ å…¥çš„GraphQL查询实施深度的规则é™åˆ¶(depth limiting)。
为基础设施和APIå±‚æ·»åŠ è¶…æ—¶è®¾å®šã€‚
执行查询的æˆæœ¬åˆ†æžï¼Œä»¥é™åˆ¶ä»£ä»·æ˜‚贵的查询。
对æ¯ä¸ªAPIå®¢æˆ·ç«¯çš„ä¼ å…¥è¯·æ±‚ï¼Œå®žæ–½é€ŸçŽ‡é™åˆ¶ã€‚
GraphQL API的访问控制
为了ä¿æŠ¤å¯¹GraphQL APIçš„åˆç†è®¿é—®ï¼Œå¼€å‘人员应该åšåˆ°ï¼š
验è¯å½“å‰ç”¨æˆ·æ˜¯å¦æœ‰æƒæ ¹æ®ä»–们的请求,查看ã€æ”¹å˜ã€ä»¥åŠä¿®æ”¹æ•°æ®ã€‚
对端点和边缘实施授æƒæŽ§åˆ¶ã€‚
利用基于角色的访问控制(RBAC)ä¸é—´ä»¶ï¼Œé€šè¿‡æŸ¥è¯¢å’Œå˜å¼‚解æžå™¨(mutation solver),æ¥å¯ç”¨è®¿é—®æŽ§åˆ¶ã€‚
在公共的APIä¸ç¦ç”¨è‡ªçœæŸ¥è¯¢ã€‚
ç¦ç”¨GraphiQL之类针对GraphQL模å¼çš„探查工具。
通用GraphQL API安全实践
å¼€å‘人员还å¯ä»¥ç”¨æ¥ä¿æŠ¤GraphQL层的其他方法包括:
对å…许的å—符使用白åå•ã€‚
为çªå˜çš„输入预先定义好对应的GraphQL模å¼ã€‚
使用å•ä¸€çš„内部å—符编ç æ ¼å¼ï¼Œæ¥æ£ç¡®åœ°å¤„ç†Unicode输入。
æ·»åŠ åˆ†é¡µ(pagination),以é™åˆ¶å•ä¸ªè¯·æ±‚能够一次性访问到的信æ¯é‡ã€‚
åŽŸæ–‡æ ‡é¢˜ï¼šBest Practices For GraphQL Security,作者:Sudip Sengupta
ã€51CTO译稿,åˆä½œç«™ç‚¹è½¬è½½è¯·æ³¨æ˜ŽåŽŸæ–‡è¯‘者和出处为51CTO.com】
