Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GraphQLの関連タイプを辿る脆弱性
Search
ham
October 04, 2021
Technology
130
0
Share
GraphQLの関連タイプを辿る脆弱性
GraphQLのedgeを辿ることで見えてはいけない情報が見えてしまう事象の説明資料
ham
October 04, 2021
More Decks by ham
See All by ham
機能開発を止めないために!運用と開発のバランスを可視化するために使っている指標をご紹介
ham0215
0
52
未来のAI駆動開発をイメージしながらAI開発基盤を整備する
ham0215
1
52
AIと過ごす1日〜全業務フローにAIを組み込む実践ガイド〜
ham0215
0
130
生成AIによる生産性向上〜テック企業やファインディの活用事例〜
ham0215
1
120
生成AI導入の効果を最大化する データ活用戦略
ham0215
0
550
データ駆動経営の道しるべ:プロダクト開発指標の戦略的活用法
ham0215
2
510
開発組織における意思決定の実例〜開発優先度・組織構成・ツール導入〜
ham0215
0
120
エンジニアリングで組織のアウトカムを最速で最大化する!
ham0215
1
520
アウトカムを最速で最大化できる開発組織にするために
ham0215
1
240
Other Decks in Technology
See All in Technology
新規ゲーム開発におけるAI駆動開発のリアル
202409e2
0
1.7k
AI フレンドリーなエラー監視を TypeScript で実現する
shinyaigeek
2
240
TypeScript Compiler APIとPHP-Parserを活用し、TypeScriptとPHPで型を共有する
shuta13
0
320
long-running-tasks
cipepser
3
460
AI駆動開発が変える、大規模開発の前提 ーHuman in the Loop から Human on the Loop へ / AIE2026
visional_engineering_and_design
2
1.5k
Platform engineering for developers, architects & the rest of us (AI agents)
danielbryantuk
0
170
Databricks における 生成AIガバナンスの実践
taka_aki
1
240
形式手法特論:公平性制約の位相的特徴づけ #kernelvm / Kernel VM Study Kansai 12th
ytaka23
1
680
Agentic ERPをどう設計するか ー 受発注エージェントを動かす、現場の知見と設計思想ー
recerqainc
1
660
Platform Engineering as a Product: Criteria for Improvement and Multi-Tenant Design
kumorn5s
0
470
さきさん文庫の書籍ができるまで
sakiengineer
0
330
PHP と TypeScript の型システム比較:AI 時代の「型」は誰のためにあるのか? #frontend_phpcon_do / frontend_phpcon_do_2026
shogogg
1
240
Featured
See All Featured
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.8k
Why Our Code Smells
bkeepers
PRO
340
58k
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
380
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
200
Bootstrapping a Software Product
garrettdimon
PRO
307
120k
Ruling the World: When Life Gets Gamed
codingconduct
0
240
Evolving SEO for Evolving Search Engines
ryanjones
0
210
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.8k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.3k
New Earth Scene 8
popppiees
3
2.3k
GraphQLの誤解/rethinking-graphql
sonatard
75
12k
Tips & Tricks on How to Get Your First Job In Tech
honzajavorek
1
530
Transcript
GraphQLのedgeを辿ることで 見えてはいけない情報が 見える脆弱性 2021/10/4 LT ham
前提条件 下記のようなUserとTeamというTypeがあるとします。 Userは複数のチームに所属しており、Teamには複数のユーザーが所属しているとします。 type User { id: ID! name: String!
teams(afterなど): TeamConnection } type Team { id: ID! name: String! users(afterなど): UserConnection }
前提条件 Teamを取得するQueryを定義します。 type Query { team(teamId: ID!): Team! } このクエリーはアクセス制御されており、teamIdで指定したチームを閲覧許可された利用者のみが閲覧できるように制御
しています。
クエリー実行 例えば下記のクエリーでTeamと所属Userを取得することができます。 利用者がteamIdで指定したチームの閲覧権限がなければ取得できないのでアクセス制御も良さそうに見えます。 query Team($teamId: ID!) { team(teamId, $teamId) {
id name users { edges { node { id name } } } } }
次のクエリーではどうでしょうか? query Team($teamId: ID!) { team(teamId, $teamId) { users {
edges { node { teams { edges { node { name users {...略} } } } } } } } } teamIdには閲覧できるチームを指定 →アクセスOK 指定したチームに他チームに所属しているユーザーが含まれている場合、 そのユーザー経由で別チームの情報まで取得することができる。 →トップ階層のアクセス制御だけでなく、関連 Typeのアクセス制御も考慮が 必要
今後の方針(まだ迷っている...) • DBカラム≒typeのように汎用的にtypeを作った場合、この脆弱性を埋め込 んでしまう可能性が高い。 • クエリーごとにtypeを分ければ発生しないが似たtypeが乱立してしまう。 • Typeを何階層もまとめて取得したいケースはあまりないのではないか?とい う仮説のもと、次ページの方針でしばらく様子を見る。
今後の方針(まだ迷っている...) • 親子関係の場合、親から子を参照するfieldのみ許可する。 • 親子関係以外の場合、fieldに指定するtypeはスカラー型だけのtypeとす る。さらに先のtypeを取得したい場合は別途クエリーを実行する。 type Team { id:
ID! name: String! users(afterなど): UserConnection } UserConnectionには別typeのfieldは定義しない。 もしUserに紐づくtypeを取得したい場合は、別途 User主 体のクエリーを実行する。
ham0215
202409e2
shinyaigeek
shuta13
cipepser
visional_engineering_and_design
danielbryantuk
taka_aki
ytaka23
recerqainc
kumorn5s
sakiengineer
shogogg
zakiyama
bkeepers
skipperchong
.png){kind=avatar}
helenjbeal
garrettdimon
codingconduct
ryanjones
bcantrill
kastner
popppiees
sonatard
honzajavorek
