GraphQL Voyager как инструмент для поиска уязвимостей
В настоящее время все больше компаний начинают использовать GraphQL. Это относительно новая технология (если быть более точным, то это язык запросов), которая призвана решить существующие проблемы REST.
Если вы еще не знакомы с GraphQL, то рекомендую начать с ресурсов:
https://www.howtographql.com/ — интерактивное обучение с заданиями и контрольными точками. Обучение начинается с нуля и заканчивается разработкой GraphQL-приложения.
https://graphql.org/learn/ и https://graphql.github.io/graphql-spec/June2018 — обучение в формате документации. Подходит, если вы хотите изучить конкретную тему.
В этой статье я хочу поделиться одним из инструментов для поиска уязвимостей в GraphQL API. Если вы искали уязвимости в GraphQL API, то наверняка сталкивались с такими проблемами:
Вместо документации у вас огромный нечитаемый JSON (GraphQL schema).
Веб-приложение использует только часть GraphQL API, поэтому вы не видите все данные и эндпойнты.
В решении этих проблем хорошим помощником является GraphQL Voyager, который визуализирует GraphQL schema. Визуализация значительно облегчает понимание GraphQL API и помогает быстрее найти уязвимости.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Памяти Кевина Митника — хакера, ломавшего ФБР, АНБ и Кремниевую долину. Часть 5: призрачный номер и загадочный хакер
- Погружаемся в PEB. DLL Spoofing
- Децентрализованное доверие. 1. Гипотеза
- Боли и решения: какие трудности возникают при найме коммуникаторов
- Большие языковые модели в финтехе: можно ли доверять им данные
- Spark_news: Каждый четвертый предприниматель не доволен своим окружением
- Редакция Spark.ru: Не прогори. Как найти китайского поставщика для работы на российском рынке?
- Finpeople: «Лента» объявляет о росте выручки на 62,1% и увеличении рентабельности по EBITDA на 434 б.п. в 1 квартале 2024 года
- Руслан Галифанов: Трезвый взгляд на Америку как место для жизни и бизнеса
- Путеводитель по Docker. От основ контейнеризации до создания собственного докера