浅谈GraphQL渗透测试

视频教程在我主页简介或专栏里

(不懂都可以来问我 专栏找我哦)

 

目录:

       前置知识

   GraphQL概念

   GraphQL查询方式

   Query(查询)

   Mutation(变更)

   Subscription(订阅)

   案例

  GraphQL渗透测试

   API发现

   通过路径特征

   报错信息判断

   通过请求探测

   攻击面的展开

   信息泄露/越权

   GraphQL注入

   SQL注入等传统漏洞

   相关工具的前端漏洞

  总结

 

前置知识

GraphQL概念

GraphQL是一个用于 API的查询语言,下面我用通俗的语言来谈谈它的特点:

简单说,GraphQL 是一种“灵活取数据”的工具。比如你点外卖时,可以自由组合菜品,而不用按固定套餐点。GraphQL 的作用类似:前端可以按需“点”数据,后端精准返回

那么这里就可以看出GraphQL与传统Rest API的区别了,我们同样以”点外卖“来描述:

Rest API:固定套餐,比如

套餐A:用户信息(姓名、头像)套餐B:用户的朋友列表套餐C:用户的订单记录

那么可以看出来它的局限:如果你想同时要“用户姓名”和“朋友列表”,得点两次套餐(发两次请求),或者让后端临时做个新套餐(改接口)

GraphQL:自助餐,想要什么直接通过接口告诉后端,比如下面这个请求:​​​​​​​

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值