Grahql查询漏洞所引起的敏感信息泄露

最新推荐文章于 2025-03-02 09:14:59 发布
翻译 最新推荐文章于 2025-03-02 09:14:59 发布 · 1.2k 阅读 · 1
文章标签:

#安全

本文介绍了安全工程师Pratik Yadav发现的一个GraphQL查询漏洞,该漏洞可能导致用户敏感信息泄露。通过电子邮件地址,攻击者可以获取目标用户的敏感信息,如钱包地址。在渗透测试中,Pratik详细描述了发现和利用该漏洞的过程,以及负责任地披露漏洞给相关公司的经历。最终,公司确认漏洞并给予了奖励。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述

大家好,我是Pratik Yadav,目前在Crypto Buying Site担任安全工程师(同时我也是计算机工程专业的大四学生),很感谢公司给我提供了一份全职工作,即使我还没有完全毕业。

漏洞详情

为了发现这个漏洞,我花了不少时间学习graphql基础知识,并阅读了可以找到的所有漏洞报告。在某次渗透测试的过程中,当我检查目标的子域时,我发现其中一个子域stg.target.com使用了graphql而不是Rest-API

你可以在这里阅读更多关于graphql的信息。简单来说,GraphQL是一种用于API的查询语言,GraphQL对你的API中的数据提供了一套易于理解的完整描述,使得客户端能够准确地获得它需要的数据,而且没有任何冗余,一个请求就可获得多个指定资源,目前已有大量国际公司使用该语言构建自己的网站。
在这里插入图片描述

需要说明的是,在我这个案例中,用户可通过目标应用转账给他们的家人或朋友或任何用户。而我发现的这个漏洞只需要受害者的电子邮件地址即可触发。

漏洞发现流程

1.首先,我通过Burp的代理时刻监控数据流,并尽量执行所有敏感操作,比如将钱从一个帐户发送到另一个帐户。

2.在检查了所有敏感操作的相关请求后,我的注意力还是集中到转移钱的请求上。

3.在转移钱之前,应用会先验证目标用户是否已经是注册用户,这是通过Graphql查询实现的。

在这里插入图片描述

4.从上面的截图的请求回应中可以看出,有一个__typename:Auth_User字段。

5.因此,思考一段时间后,我决定找到涉及__typename:Auth_user的所有字段。

6.利用我所学习的graphql知识,我构建了如下查询语句,它会找出所有的typename和相关字段值。

https://api.stg.target.com/graphq?query={__schema{types{name,fields{name}}}}

在这里插入图片描述

所以我检查了typename:Auth_user的所有字段,注意到其中两个字段addressLine1addressLine2,貌似是很敏感的信息。

7.因此,我替换了原始请求中的status,使用了addressLine1代替,然后正如预期的那样,服务器返回了测试帐户地址。

在这里插入图片描述

因此,只要电子邮件地址,你就可以窃取任何人的任何敏感信息

类似地,我用balancewallet_address等一系列敏感字段进行了替换,均返回了其他用户的敏感信息。

披露流程

1.我大约在凌晨1点(印度标准时间)向他们报到了漏洞。

2.他们在看到了我提供的视频证据后,立即下线了该子域名。

3.最后,他们给了我四位数美元的奖金(这是我目前得到的最高奖金)。

感谢你的阅读!

参考:https://graphql.cn/learn/

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2922.html
来源:https://medium.com/@pratiky054/graphql-bug-to-steal-anyones-address-fc34f0374417
GitLab Graphql邮箱信息泄露
「应无所住而生其心」
06-21 1278
生活不能等待别人来安排,要自已去争取和奋斗;而不论其结果是喜是悲,但可以慰藉的是,你总不枉在这世界上活了一场。 ​
【0051】 详聊PostgreSQL约束(Constraints)
Postgres 数据库内核开发工程师
11-10 1791
文章目录1. 什么是约束2. 约束分类3. 约束讲解3.1 NOT NULL 约束示例 1. 什么是约束 约束是对表中的数据列实施的规则或限制。它们用于防止无效数据被输入到数据库中。这保证了数据库中数据的准确性和可靠性。 约束可以是列级或表级。列级约束仅应用于一列,而表级约束应用于整个表。为列定义数据类型本身就是一个约束。例如,类型为 DATE 的列将该列限制为有效日期。 2. 约束分类 PostgreSQL 中可用的常用约束有以下6类。它们分别是: (1)NOT NULL 约束 即所谓的非空约束,确
GraphQL API 漏洞
why811的博客
09-05 1103
GraphQL 漏洞通常是由于实现和设计缺陷而出现的。例如,侦测功能可能保持活动状态,使攻击者能够查询 API 以收集有关其架构的信息。GraphQL 攻击通常采用恶意请求的形式,使攻击者能够获取数据或执行未经授权的操作。这些攻击可能会产生严重影响,特别是如果用户能够通过操纵查询或执行获得管理员权限。易受攻击的 GraphQL API 也可能导致问题。在本节中,我们将介绍如何测试 GraphQL API。如果您不熟悉 GraphQL,请不要担心 - 我们将随时介绍相关细节。
GraphQL安全问题
一个安全研究员
01-09 2804
graphql使用 在我看来,graphql提供了一种api的解决方案。以前我们查询api提供的数据是怎么做的呢?举一个例子,例如现在有这么一个查询书籍信息的接口:/book/info,按照我们之前的解决方案,我们一般会传一个类似book_id的参数到这个接口,然后接口把书籍信息返回给我们 同样的,如果又有一个查询作者信息的需求,那么我们会新增一个接口:/author/info,并以book_id为参数查询作者信息 可以看到,以往我们使用的api查询数据的操作是分散的,彼此之间是没啥联系,查询多个数据就要向
Ibexa DXP 修复 GraphQL 密码哈希泄露漏洞
smellycat000的专栏
11-24 609
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士挪威软件公司 Ibexa 督促用户立即应用新补丁,解决影响其 Digital Experience Platform (DXP) 中的一个敏感数据泄露漏洞。DXP 是一款由电子商务、数据管理、云托管和内容管理系统 (CMS) 功能组成的B2B应用。该漏洞位于 GraphQL Bundle中。GraphQL Bundle 是Ibexa DXP 和 ...
GraphQL API漏洞
实践出真理,接毕设/课设项目开发指导
05-30 1616
GraphQL是一种API查询语言,GraphQL服务定义了一个合约,客户端可以通过它与服务器进行通信。客户端不需要知道数据驻留在哪里。相反,客户端向GraphQL服务器发送查询,该服务器从相关位置获取数据。
GraphQL Java - Batching
喜欢新技术的彭英峻
05-15 487
使用GraphQL的过程中,可能需要在一个图数据上做多次查询。使用原始的数据加载方式,很容易产生性能问题。 通过使用java-dataloader,可以结合缓存(Cache)和批处理(Batching)的方式,在图形数据上发起批量请求。如果dataloader已经获取过相关的数据,那么它会缓存数据的值,然后直接返回给调用方(无需重复发起请求)。
java使用graphql client
CrazyAhai的专栏
04-07 7865
在项目中引用graphql client 目前这个graphql client只支持post的graphql server 使用maven构建依赖关系 <dependency> <groupId>org.mountcloud</groupId> <artifactId>graphql-client</artifactId>...
变更管理:从Thunder到GraphQL再到CLI工具的深度解析
从给定的文件信息中,我们可以提炼以下知识点: 标题:“hack-8-2020” 这个标题可能指向的是一个特定日期发生的...针对具体开发任务,这些信息提供了对所进行工作的概览,并可能对开发人员、架构师和项目管理者有用。
渗透测试之graphQL
Sp4rkW的博客
12-03 8795
原文出处, 酒仙桥六号部队的玩转graphQL,此文只是转载用于自己mark 全文目录1、前言2、前置知识2.1、什么是GraphQL2.2、基本属性2.2、内省查询3、GraphQL中常见的问题3.1、内省查询问题3.2、信息泄露3.3、SQL注入3.4、CSRF3.5、嵌套查询拒绝服务3.6、权限问题4、总结 1、前言 在测试中我发现了很多网站开始使用GraphQL技术,并且在测试中发现了其使用过程中存在的问题,那么,到底GraphQL是什么呢?了解了GraphQL后能帮助我们在渗透测试中发现哪些问.
gql_intruder:基于插件的 GraphQL 漏洞评估工具
05-29
GraphQL 入侵者 用于执行 GraphQL 端点漏洞评估的面向插件的工具。 用法 插件列在plugins文件夹下它们自己的文件夹中。 列出所有可用的插件: $ python3 brute.py List of available plugins Name: dump Author: Davide Barbato Description: Dump GraphQL schema via introspection. Action: dump Name: intruder Author: Davide Barbato Description: Simple bruteforce inspired by Burp Suite Intruder. Action: intruder For more info type: python3 brute.py <action> 如何编写插件
Hasura GraphQL Engine 存在远程命令执行漏洞
holyxp的博客
06-28 730
Hasura GraphQL Engine是Hasura开源的一个非常快速的 GraphQL 服务器。Hasura GraphQL Engine是Hasura开源的一个非常快速的 GraphQL 服务器。Hasura GraphQL Engine 存在远程命令执行漏洞
GraphQL API 漏洞简介】
D-river博客
02-28 1162
GraphQL API 因其灵活性和高效性被广泛应用,但也因设计和实现缺陷存在多种安全风险。
【网络安全 | 渗透测试】GraphQL精讲二:发现API漏洞
最新发布
等风来
03-02 2780
这是一个在线工具,它可以将 introspection 查询的结果转化为返回数据的可视化表示,包括操作和类型之间的关系。查询深度是指查询中嵌套的层级数。如果该端点支持一个网站,尝试在 Burp 的浏览器中探索 Web 界面,并使用 HTTP 历史记录查看发送的查询。如果这不起作用,可以尝试在另一种请求方法下运行探测查询,因为 introspection 可能仅在 POST 请求中被禁用。此操作可能会绕过速率限制,因为它是一个单一的 HTTP 请求,即使它可能在一次查询中检查大量折扣码。
漏洞挖掘】——84、Graphql安全攻防刨析
Fly_鹏程万里
06-12 249
GraphQL是一种用于构建API的查询语言和运行时环境,它提供了一种灵活且高效的方式来获取和修改数据,随着GraphQL的流行和广泛采用,我们也需要认识到与其相关的安全问题和挑战,本文将概述GraphQL安全问题并提供实用的建议和最佳实践以帮助开发人员和系统管理员确保他们的GraphQL实现在安全性方面得到充分保护,包括一些常见安全漏洞以及如何通过正确的配置和安全措施来减轻这些风险。
GraphQL渗透测试详解
瓦罗兰特顶级C位的博客
01-21 1662
GraphQL 是一种查询语言,用于 API 设计和数据交互。它是由 Facebook 发布的一款新型的数据查询和操作语言,自 2012 年起在内部使用,自 2015 年起获得开源许可。
GraphQL渗透测试案例及防御办法
weixin_42075643的博客
08-31 4598
GraphQL渗透测试案例及防御办法
浅谈GraphQL渗透测试
2401_89294392的博客
02-12 642
GraphQL算是一个国内外比较常见的API了,泄漏、注入、未授权的测试都比较方便,在SRC中可以多加关注。
GraphQL API-通过未被净化的参数获取隐私信息
2301_80127209的博客
04-11 795
用户可以通过提供与该信息相对应的参数来访问他们不应该拥有的信息。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。漏洞的时候,测试查询参数是否被净化是一个很好的起点,的保留字段,该字段以字符串形式返回查询对象的类型。漏洞,但是也可能会存在例外的情况,例如支持。题目的说法是寻找隐藏的博客,通过枚举。字符串,这被称为通用查询
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值