Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GraphQLの関連タイプを辿る脆弱性
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
ham
October 04, 2021
Technology
130
0
Share
GraphQLの関連タイプを辿る脆弱性
GraphQLのedgeを辿ることで見えてはいけない情報が見えてしまう事象の説明資料
ham
October 04, 2021
More Decks by ham
See All by ham
機能開発を止めないために!運用と開発のバランスを可視化するために使っている指標をご紹介
ham0215
0
44
未来のAI駆動開発をイメージしながらAI開発基盤を整備する
ham0215
1
39
AIと過ごす1日〜全業務フローにAIを組み込む実践ガイド〜
ham0215
0
120
生成AIによる生産性向上〜テック企業やファインディの活用事例〜
ham0215
1
120
生成AI導入の効果を最大化する データ活用戦略
ham0215
0
530
データ駆動経営の道しるべ:プロダクト開発指標の戦略的活用法
ham0215
2
490
開発組織における意思決定の実例〜開発優先度・組織構成・ツール導入〜
ham0215
0
110
エンジニアリングで組織のアウトカムを最速で最大化する!
ham0215
1
510
アウトカムを最速で最大化できる開発組織にするために
ham0215
1
230
Other Decks in Technology
See All in Technology
AI時代に越境し、 組織を変えるQAスキルの正体 / QA Skills for Transforming an Organization
mii3king
5
4.3k
Agent の「自由」と「安全」〜未来に向けて今できること〜
katayan
0
350
そのSLO 99.9%、本当に必要ですか? 〜優先度付きSLOによる責任共有の設計思想〜 / Is that 99.9% SLO really necessary? Design philosophy of shared responsibility through prioritized SLOs
vtryo
0
590
生成AIはソフトウェア開発の革命か、ソフトウェア工学の宿題再提出なのか -ソフトウェア品質特性の追加提案-
kyonmm
PRO
2
880
AIエージェントの支払い基盤 AgentCore Payments概要
kmiya84377
2
170
AI-Assisted Contributions and Maintainer Load - PyCon US 2026
pauloxnet
1
100
セキュリティ対策、何からはじめる? CloudNative環境の脅威モデリングと リスク評価実践入門 #cloudnativekaigi
varu3
5
800
Oracle Exadata Database Service on Cloud@Customer X11M (ExaDB-C@C) サービス概要
oracle4engineer
PRO
2
8k
ボトムアップの改善の火を灯し続けろ!〜支援現場で学んだ、消えないための3つの打ち手〜 / 20260509 Kazuki Mori
shift_evolve
PRO
2
650
Databricks 月刊サービスアップデートまとめ 2026年04月号
tyosi1212
0
110
AI飲み会幹事エージェントを作っただけなのに
ykimi
0
170
PdM・Eng・QAで進めるAI駆動開発の現在地/aidd-with-pdm-eng-qa
shota_kusaba
0
210
Featured
See All Featured
For a Future-Friendly Web
brad_frost
183
10k
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
2
1.4k
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
davidcarrasco
3
130
Claude Code のすすめ
schroneko
67
220k
The Illustrated Children's Guide to Kubernetes
chrisshort
51
52k
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
350
HTML-Aware ERB: The Path to Reactive Rendering @ RubyCon 2026, Rimini, Italy
marcoroth
1
34
The Cost Of JavaScript in 2023
addyosmani
55
9.9k
The SEO Collaboration Effect
kristinabergwall1
1
440
Optimizing for Happiness
mojombo
378
71k
Darren the Foodie - Storyboard
khoart
PRO
3
3.3k
Believing is Seeing
oripsolob
1
120
Transcript
GraphQLのedgeを辿ることで 見えてはいけない情報が 見える脆弱性 2021/10/4 LT ham
前提条件 下記のようなUserとTeamというTypeがあるとします。 Userは複数のチームに所属しており、Teamには複数のユーザーが所属しているとします。 type User { id: ID! name: String!
teams(afterなど): TeamConnection } type Team { id: ID! name: String! users(afterなど): UserConnection }
前提条件 Teamを取得するQueryを定義します。 type Query { team(teamId: ID!): Team! } このクエリーはアクセス制御されており、teamIdで指定したチームを閲覧許可された利用者のみが閲覧できるように制御
しています。
クエリー実行 例えば下記のクエリーでTeamと所属Userを取得することができます。 利用者がteamIdで指定したチームの閲覧権限がなければ取得できないのでアクセス制御も良さそうに見えます。 query Team($teamId: ID!) { team(teamId, $teamId) {
id name users { edges { node { id name } } } } }
次のクエリーではどうでしょうか? query Team($teamId: ID!) { team(teamId, $teamId) { users {
edges { node { teams { edges { node { name users {...略} } } } } } } } } teamIdには閲覧できるチームを指定 →アクセスOK 指定したチームに他チームに所属しているユーザーが含まれている場合、 そのユーザー経由で別チームの情報まで取得することができる。 →トップ階層のアクセス制御だけでなく、関連 Typeのアクセス制御も考慮が 必要
今後の方針(まだ迷っている...) • DBカラム≒typeのように汎用的にtypeを作った場合、この脆弱性を埋め込 んでしまう可能性が高い。 • クエリーごとにtypeを分ければ発生しないが似たtypeが乱立してしまう。 • Typeを何階層もまとめて取得したいケースはあまりないのではないか?とい う仮説のもと、次ページの方針でしばらく様子を見る。
今後の方針(まだ迷っている...) • 親子関係の場合、親から子を参照するfieldのみ許可する。 • 親子関係以外の場合、fieldに指定するtypeはスカラー型だけのtypeとす る。さらに先のtypeを取得したい場合は別途クエリーを実行する。 type Team { id:
ID! name: String! users(afterなど): UserConnection } UserConnectionには別typeのfieldは定義しない。 もしUserに紐づくtypeを取得したい場合は、別途 User主 体のクエリーを実行する。
SiteGround - Reliable hosting with speed, security, and support you can count on.
ham0215
mii3king
katayan
vtryo
kyonmm
kmiya84377
pauloxnet
varu3
oracle4engineer
shift_evolve
tyosi1212
ykimi
.jpg){kind=avatar}
shota_kusaba
brad_frost
sarafernandez
davidcarrasco
schroneko
chrisshort
skipperchong
marcoroth
addyosmani
kristinabergwall1
mojombo
khoart
oripsolob
